html() vs innerHTML jquery/javascript & XSS attack

Question

Estoy probando ataques xss en mi propio código. El siguiente ejemplo es una simple caja donde un usuario puede escribir lo que quiera. Después de presionar "¡prueba!" botón, JS mostrará la cadena de entrada en dos divs.This es un ejemplo que hice para explicar mejor mi pregunta:

<html> 
<script src="http://ajax.googleapis.com/ajax/libs/jquery/1.7.1/jquery.min.js"></script> 
<script type="text/javascript"> 
    function testIt(){ 
     var input = document.getElementById('input-test').value; 
     var testHtml = document.getElementById('test-html'); 
     var testInnerHTML = document.getElementById('test-innerHTML'); 
     $(testHtml).html(input); 
     testInnerHTML.innerHTML = input; 
    } 
</script> 
<head>this is a test</head> 
<body> 
    <input id="input-test" type="text" name="foo" /> 
    <input type="button" onClick="testIt();" value="test!"/> 
    <div id="test-html"> 
    </div> 
    <div id="test-innerHTML"> 
    </div> 
</body> 

si se intenta copiar en un archivo .html y ejecutarlo, funcionará bien, pero si intenta ingresar <script>alert('xss')</script>, solo se lanzará un cuadro de alerta: el que está dentro de `test-html 'div (con la función html()).

Realmente no puedo entender por qué esto está ocurriendo, y también, inspeccionando el código con Firebug me da este resultado (después de la inyección de la secuencia de comandos)

<body> 
this is a test 
<input id="input-test" type="text" name="foo"> 
<input type="button" value="test!" onclick="testIt();"> 
<div id="test-html"> </div> 
<div id="test-innerHTML"> 
    <script> 
    alert('xss') 
    </script> 
</div> 
</body> 

como se puede ver test-html div está vacía, y test-innerhtml div contans el script. ¿Puede alguien decirme por qué? ¿Es porque html() es más seguro contra la inyección de scripts o algo similar?

Gracias de antemano, saludos cordiales.