XSS対策が面倒だな。面倒って言っててもちゃんとやらないと大問題だからやらないと。
つーかユーザーの入力した文字をそのまま出すだけで悪用されるって、完全に欠陥だと思うんだが。HTMLにJavaScriptを埋め込むだけで動き出すのはマズイだろ。
そもそもHTMLというテキストベースのデータ構造が時代遅れだ。表示するデータと表示方法を制御するデータの形式が同じになってたりするからとか埋め込まれちゃうんだ。制御データの書式を基本にして表示データを特別扱いしてればまだ問題も少なかっただろうに、実際は逆だからな。つまり

<p>表示データ</p>

を

p("表示データ")

みたいに書ければよかった。表示データの中に制御データと同じ構文が入ってても、それを制御データとみなさなければいいだけなんだ。
ただのテキストにチマチマ表示方法を指定して見栄えをよくするっていうやり方もダサい。ページの好きな場所に画像を置くってだけでもややこしい指定をしなきゃいけない。論文みたいなものを書くだけなら今のままでいいんだけど、「上から下に文章が流れていく」以上のことをしようとすると途端に敷居が高くなる。具体的に言うとfloat。あれはダメだ。もっと簡単に2段組とかが作れればtableで表以外のものを作り出す人も減るんじゃないか。
それもこれも全部、昔の形式を引きずっているのが原因なんだ。電子データは年月が経っても劣化しない分、昔のものを昔と同じように扱えることが要求されている。ブルーレイプレイヤーでビデオテープを再生したい人はほとんどいないのに、音楽プレイヤーソフトでmp3を再生してる人はいくらでもいるだろう。新しい形式も色々出たけど、それでも10年以上前からある形式がトップなんだよね。不思議だね。不思議そう。不思議ばな。
だから、HTMLとはまったく違うWebページの形式があってもいいと思うんだ。
…といったらFlashがあるわけだ。あれはどうやって作るのかまだよく知らないけど、HTMLよりは「今Webページに要求されるもの」をストレートに作れるんじゃないか。こう考えたらFlashのページがたくさんあることも納得できる。前はクソ重かったので嫌いだったけど最近はわりとサクサク動くしね。まあ結局FlashもHTMLに埋め込むことになるのだが。
と、ここまで書いておいてなんだけど、HTMLの次の世代の形式を僕が知らないだけだったというオチが用意されている予感。