No estoy pidiendo romper la seguridad de alguien, pero ¿puede un atacante omitir este filtro?
¿Qué debo agregar para asegurarlo más o es suficiente?
var target = window.location.hash.replace(/[^\w-_]/g, ''); $('#sel-' + target).addClass('pressed');
Lea otras preguntas en las etiquetas xss