Немного отойду от темы, вот есть rettyPhoto Plugin - это JS галерея.
И вот пишут, мол она не безопасна.
https://packetstormsecurity.com/file...Scripting.html
Если сформировать url: /#!%22%3E%3Cimg%20src=1%20onerror=prompt%280%29;%3E//
мы на страницу можем вставить вредный код.
Нужно сделать вот такой фикс:

hashIndex = parseInt(hashIndex);
hashRel = hashRel.replace(/([ #;&,.+*~\':"!^$[\]()=>|\/])/g,'\\$1');

А почему на свою страницу, которая тупо смотрит URL и показывает его в HTML я не могу вывести вредный код?

Это на стороне клиента, то есть клиент ввел, клиент что-то получил. Вам это нужно? На здоровье, тренируйтесь. Пока вами введенное не будет на страницах других пользователей, это никому угрожать не будет.

Насколько я понял проблема rettyPhoto Plugin в том что они используют decodeURI

Если я у себя сделаю вот так, из плюсов будет правильно отображаться русские символы. Но из минусов я смогу добавлять вредный код.

window.onload = function() {
$("#test").html(decodeURI(window.location.search));
}

Вопрос, есть какой-то еще способ безопасно в читаемом виде выводить русские символы с url?

Других способов, кроме замены опасных символов на безопасные, нет.

Скрипты (<script>) при добавлении через innerHTML не срабатывают. А вот через jQuery сработает, так как там метод "html" не через innerHTML вставляет данные. Для безопасной вставки достаточно использовать метод "text" (или свойство textContent в нативном JS).