GWT SafeHTML, XSS и лучшие практики

Хорошие люди из OWASP подчеркивают, что вы ДОЛЖНЫ использовать escape-синтаксис для той части документа HTML, в которую вы помещаете ненадежные данные (тело, атрибут, JavaScript, CSS или URL). См. OWASP - XSS . Их API (разработанный командой ESAPI) впоследствии обслуживает это с помощью кодировщиков для каждого контекста: ESAPI.encoder (). EncodeForHTMLAttribute («вход»); ESAPI.encoder (). EncodeForJavaScript («ввод»); ESAPI.encoder (). EncodeForCSS («ввод»); ESAPI.encoder (). EncodeForURL ("вход");

Впоследствии это позволяет разработчику обслуживать XSS на основе DOM .

Итак, мой вопрос заключается в том, как пакет safehtml GWT справляется с этим, или он просто сосредоточен на кодировании HTML?