どうしてもdocument. writeを使わなければいけない場合には、 「⁠document. writeで出力するコンテキストに応じて文字列をエスケープする」 という、 これまでサーバサイドで行っていたXSS対策と同じことをJavaScript上で行う必要があります。