если HTML вашего персонала генерируется с помощью Javascript, то вы можете использовать innerText, чтобы избежать любой интерпретации HTML-разметки:
document.getElementById('text').innerText = untrustedOutput;
если это серверная часть, вы можете посмотреть ответ benban123 и адаптировать его под свой язык. В php я бы использовал:
htmlentities( $text );
(см .: http://www.php.net/manual/en/function.htmlentities.php).
но я не уверен в его эффективности, XSS многочисленны.
РЕДАКТИРОВАТЬ: Если ваш текст предназначен только для отображения через функцию javascript alert(msg), я думаю, что вы в безопасности, так как не будут интерпретироваться (возможно, за исключением экранированных символов новой строки /n).