создаю простой маленький чат с Node.js и socket.io

Когда пользователь вводит свое сообщение, оно передается всем остальным пользователям.

Сервер отправляет сообщение:

io.sockets.emit('fromServerToClient', { "message": message });

Клиент отображает это:

socket.on('fromServerToClient', function (data) {
    $('#messages').append(data.message + '<br>');
});

Но когда вы отправляете что-то вродеalert(1);выполняется на каждом клиентском браузере.

Это серьезный недостаток безопасности, и я хочу как можно больше его избегать. Я'видел, как люди убегают&, and " персонажи, но я нене думаю, что этодостаточно!

Как я могу быть на 100% уверен, что в моем чате нет уязвимости XSS?

Кстати, я всегда указываю кодировку, чтобы избежать атак UTF-7.

Спасибо за вашу помощь.