В нашем проекте мы используем doT шаблоны , которые (как и большинство других) допускают интерполяцию с кодированием ({{! ... }}).Вы также можете попытаться закодировать все данные и убрать все возможные стороны сервера javascripts, когда данные сохранены, чтобы быть на 100% уверенными, что вы не получите ничего вредоносного
Кроме того, если вы используете методы jquery, не забудьте использовать textметод вставки данных, а не html, так как текст автоматически его кодирует.
И я действительно рекомендую doT!Это супер быстро, и нам удалось заставить его играть очень хорошо с requirejs