No estoy pidiendo romper la seguridad de alguien, pero ¿puede un atacante omitir este filtro?
¿Qué debo agregar para asegurarlo más o es suficiente?
var target = window.location.hash.replace(/[^\w-_]/g, '');
$('#sel-' + target).addClass('pressed');