de igual forma no me parece adecuado delegar al navegador (o javascript) la protección XSS, ya que no podemos confiarnos a que los usuarios usen un navegador actualizado, es por ello que debes de realizar los filtros en el servidor, con el objetivo de que tu DB este limpia de scripts y que en el dado caso de mostrar información, se evite generar código JS comprometedor.