Um "böse" Zeichen zu neutralisieren.

Was sind denn »böse« Zeichen?

Bei der Ausgabe muss ein beliebiger, vom Benutzer eingegebene String sicher in den HTML-Kontext (HTML-Attributwert) überführt werden. Das ist alles.

Das gilt bekanntlich für alle Eingaben.

War auf der Suche ob es dafür auch was brauchbares gibt, aber eine simple Funktion gibts scheinbar nicht.

Jede serverseitige Programmiersprache bzw. jedes serverseitige Webframework bietet geeignete Funktionen. Bei PHP z.B. htmlspecialchars oder ausgereifte Templating-Bibliotheken.

Es ist nicht die Aufgabe von JavaScript, vom User eingegebene Strings, die zum Server geschickt werden, für eine zukünftige Ausgabe vorzubereiten. Das ist immer Aufgabe des Systems, die eine Ausgabe erzeugt (z.B. HTML-Code).

GRüße
Mathias