Załóżmy, że mam stronę z polem wprowadzania. Użytkownik wpisuje coś w polu wprowadzania i naciska przycisk. Przycisk uruchamia funkcję, która podnosi wartość wpisaną w polu tekstowym i wyprowadza ją na stronę pod polem tekstowym z dowolnego powodu.

Teraz było to niepokojąco trudne do znalezienia ostatecznej odpowiedzi lub nie pytałbym, ale jak byś poszedł o wyprowadzenie tego ciągu:

<script>alert("hello")</script> <h1> Hello World </h1>

Żeby nie był wykonywany ani skrypt, ani element HTML?

Naprawdę pytam, czy istnieje standardowa metoda unikania wstrzykiwania HTML i ScriptJavascript. Wydaje się, że wszyscy mają inny sposób na zrobienie tego (używam jQuery, więc wiem, że mogę po prostu wyprowadzić ciąg dotekst element, a niehtml na przykład element, ale nie o to chodzi.