Suponha que eu tenha uma página com uma caixa de entrada. O usuário digita algo na caixa de entrada e pressiona um botão. O botão aciona uma função que seleciona o valor digitado na caixa de texto e o envia para a página abaixo da caixa de texto, por qualquer motivo.

Agora isso tem sido perturbadoramente difícil de encontrar uma resposta definitiva, ou eu não perguntaria, mas como você produziria essa string:

<script>alert("hello")</script> <h1> Hello World </h1>

Para que nem o script seja executado nem o elemento HTML seja exibido?

O que realmente estou perguntando aqui é se existe um método padrão para evitar a injeção de HTML e Script noJavascript. Todo mundo parece ter uma maneira diferente de fazer isso (estou usando jQuery, então sei que posso simplesmente enviar a string para otexto elemento em vez dohtml elemento, por exemplo, esse não é o ponto).