Estoy trabajando en una sola página webapp. Estoy haciendo la representación creando directamente nodos DOM. En particular, todos los datos proporcionados por el usuario se agregan a la página mediante la creación de nodos de texto condocument.createTextNode("user data").

¿Este enfoque evita cualquier posibilidad de inyección HTML, secuencias de comandos entre sitios (XSS) y todas las otras cosas malas que los usuarios podrían hacer?