Ответ 1
Нет $не является безопасным для XSS.
Вы можете использовать произвольный JavaScript, используя этот трюк.
$("<img src=x onerror=alert(/xss/.source)>")
Является ли jQuery $безопасным от XSS?
В jQuery:
$('<script>alert("foo");</script>')
// nothing shows up
// wrap it in a <p>
$('<script>alert("foo");</script>').wrap('<p>')
// oh no, an alert just popped up.
Может ли $('any string what so ever') заставить JavaScript выполнять в любом браузере?