CreateTextNode è completamente sicuro da HTML injection & XSS?

Sto lavorando a una singola webapp. Sto facendo il rendering creando direttamente i nodes DOM. In particolare, tutti i dati forniti dall’utente vengono aggiunti alla pagina creando nodes di testo con document.createTextNode("user data") .

Questo approccio evita qualsiasi possibilità di iniezione HTML, cross site scripting (XSS) e tutte le altre cose malvagie che gli utenti potrebbero fare?

Crea un nodo di testo normale, quindi sì, per quanto ansible.

È ansible creare un problema XSS utilizzando un metodo non sicuro per ottenere i dati da qualsiasi canale in cui vengono inseriti per createTextNode .

ad es. quanto segue sarebbe pericoloso :

 document.createTextNode(''); 

… ma il pericolo è da PHP echo , non da JavaScript createTextNode .