html() vs innerHTML jquery/javascript i ataki XSS

Question

Testuję ataki xss na mój własny kod. Poniższy przykład to proste pole, w którym użytkownik może wpisać, co chce. Po naciśnięciu "testuj!" Przycisk, JS pokaże ciąg wejściowy na dwa divs.This jest przykładem zrobiłem lepiej wyjaśnić moje pytanie:

<html> 
<script src="http://ajax.googleapis.com/ajax/libs/jquery/1.7.1/jquery.min.js"></script> 
<script type="text/javascript"> 
    function testIt(){ 
     var input = document.getElementById('input-test').value; 
     var testHtml = document.getElementById('test-html'); 
     var testInnerHTML = document.getElementById('test-innerHTML'); 
     $(testHtml).html(input); 
     testInnerHTML.innerHTML = input; 
    } 
</script> 
<head>this is a test</head> 
<body> 
    <input id="input-test" type="text" name="foo" /> 
    <input type="button" onClick="testIt();" value="test!"/> 
    <div id="test-html"> 
    </div> 
    <div id="test-innerHTML"> 
    </div> 
</body> 

jeśli spróbujesz skopiować go do pliku .html i uruchomić go, będzie działać dobrze, ale jeśli spróbujesz wprowadzić <script>alert('xss')</script>, tylko jedno pole ostrzeżenia zostanie wygenerowane: to, które znajduje się w `test-html 'div (z funkcją html()).

Naprawdę nie mogę zrozumieć, dlaczego tak się dzieje, a także sprawdzania kodu z Firebug daje mi ten wynik (po wstrzyknięciu skryptu)

<body> 
this is a test 
<input id="input-test" type="text" name="foo"> 
<input type="button" value="test!" onclick="testIt();"> 
<div id="test-html"> </div> 
<div id="test-innerHTML"> 
    <script> 
    alert('xss') 
    </script> 
</div> 
</body> 

jak widać test-html div jest pusta, i test-innerhtml div contans the script. Czy ktoś może mi powiedzieć, dlaczego? Czy dlatego, że html() jest bezpieczniejszy przed injekcją skryptów lub czymś podobnym?

Z góry dziękuję, pozdrawiam.