Eu estou trabalhando em uma única página webapp. Eu estou fazendo a renderização criando diretamente os nós DOM. Em particular, todos os dados fornecidos pelo usuário são adicionados à página criando nós de texto comdocument.createTextNode("user data").

Essa abordagem evita qualquer possibilidade de injeção de HTML, cross-site scripting (XSS) e todas as outras coisas ruins que os usuários podem fazer?