html-escape-characters

Estoy usando JavaScript para extraer un valor de un campo oculto y mostrarlo en un cuadro de texto. El valor en el campo ocul ... ', quiero que la codificación permanecer. ¿Hay una biblioteca JavaScript o un método jQuery que codifique HTML una cadena?

¿Son lo mismo que XML, quizás más el espacio (&ampnbsp;)? He encontrado algunas listas enormes de caracteres de escape HTML, pero no creo que deban escaparse. Quiero saber qué necesita para escapar.

¿Qué debo hacer para prevenir XSS en Primavera MVC? Ahora mismo solo estoy poniendo todos los lugares donde emito texto de u ... ¿Tal vez un filtro o algo? Estoy recopilando entradas especificando @RequestParam parámetros en mis métodos de controlador.

Esta pregunta ya tiene una respuesta aquí: AngularJS: Insertar HTML desde una cadena ... ras palabras, en la página se muestra el html de origen en lugar del html que se representa. Tal vez me estoy perdiendo algo?