如何正确编码来自数据库的不安全输入以显示为HTML以防止XSS？

Question

为了防止XSS，我想显示来自数据库的用户输入，只是有太多的选择。我已经阅读了用于XSS预防的OSWAP备忘单，其中指出：

“规则1-在将不受信任的数据插入HTML元素内容之前，HTML转义”。

我已经研究并找到了几种选择。

1. 使用textContent显示数据（没有任何转义），
2. 使用转义（“从Web标准中删除”），
3. 使用我自己的转义实现；例如：创建div，插入数据并从其textContent中获取数据的函数。

我想知道使用香草js进行编码/解码的正确方法。谢谢。