ユーザー入力や名前・IDを HTML 文字列として連結し innerHTML に流し込むと、属性値や本文が未エスケープのまま入り XSS になる。メンションspanなどを描画する際は document.createElement で要素を作り、textContentやsetAttributeで値を設定してから outerHTML を使う DOM API ベースに寄せる。これで id や name がそのまま差し込まれず注入リスクを避けられる。escapeHtml ベースよりも DOM 生成の方が安全。