ごめん、この前会社でクリティカルなHTML5のXSSの影響が見えないなんて言って・・・

このようなコードは、XHRがドキュメントと同じオリジンとしか通信できなかったころには全く問題がありませんでしたが、XHRがオリジンを超えて通信できるようになった現在のブラウザーではXSSが存在することになります。
攻撃者がユーザーを「http://example.jp/#//evil.example.com/」などのURLに誘導すると、XHRの通信先として「//evil.example.com/」が使用されます。「//」で始まるURLは、現在のURLと同じプロトコルスキームを使うことを意味するので、XHRは「http://evil.example.com/」からコンテンツを取得し、それが「http://example.jp/」上にHTMLとして挿入される、典型的なDOM based XSSが発生します。

知っていれば恐くない、XMLHttpRequestによるXSSへの対応方法 (1/2)：HTML5時代の「新しいセキュリティ・エチケット」（3） - ＠IT