當進行AJAX請求時，返回的值可能會包含HTML代碼。比如說一個網站上面有很多評論，當用戶點擊“加載更多”按鈕時，網站會通過AJAX請求獲取新的評論數據并顯示在頁面上。這些評論數據可能包含一些HTML代碼，比如說標簽、鏈接、粗體、斜體等等。

在處理這些返回的值時，我們需要注意防范XSS攻擊。XSS攻擊指的是一種代碼注入攻擊，攻擊者通過在網頁中注入惡意代碼來獲取用戶的敏感信息，如用戶的Cookie、密碼等信息。

為了防范XSS攻擊，我們可以使用一些工具和技巧。比如說在前端代碼中使用encodeURIComponent()方法將HTML代碼進行編碼，將特殊字符轉義成字符實體。在后端代碼中，我們可以使用一些安全框架來過濾惡意的輸入數據，比如說HTMLPurifier。

function getComment(){
var xhr = new XMLHttpRequest();
xhr.open('GET', 'http://example.com/comments', true);
xhr.onreadystatechange = function() {
if(xhr.readyState === XMLHttpRequest.DONE && xhr.status === 200) {
var resp = xhr.responseText;
document.getElementById('comments').innerHTML += resp;
}
};
xhr.send();
}

上面的代碼演示了如何使用AJAX請求獲取評論數據，并將新獲取的數據顯示在頁面上。注意到這里使用了innerHTML屬性，這是因為我們返回的值中包含了HTML代碼。