Ho letto qualche tempo fa che htmlEncoding in javascript è un no-go. Ma questo è il caso quando codifichi per la prima volta i dati e poi li salvi in db (per esempio). In questo caso, ti basti solo su javascript per eseguire la codifica e vedo perché questo è pericoloso.
Ma quando si salvano gli input dell'utente nel database così com'è e facendo htmlEncode in output, ha senso solo htmlEncode sul server e si consideri pericoloso javascript htmlEncoding?