この例では特にサニタイズせずにユーザの入力をデータベースに追加している。開発者ツール画面のApplicationのSessiion storageを見ると normalUser, maliciousUserの2種類のユーザのデータを保存している。 maliciousUserでは<script></script>が埋め込まれており、その処理が実行されている。 今回はデモなのでalertが発生するだけだが、Cookieを取得するような処理が記述されているとセッション情報等が抜き取られる危険性がある。