Самая простая и удобная

function htmlspecialchars( html){
  var div =  document.createElement('div');
  div.innerText = html;
  return div.innerHTML;
}

но это работа с дом. Медленно.

Другой вариант.

function htmlspecialchars(str) {
 if (typeof(str) == "string") {
  str = str.replace(/&/g, "&"); /* must do & first */
  str = str.replace(/"/g, """);
  str = str.replace(/'/g, "'");
  str = str.replace(/</g, "<");
  str = str.replace(/>/g, ">");
  }
 return str;
 }

далее