moustache-securityで説明されているKnockoutJSのXSS脆弱性をどのように軽減すればよいですか？

サイト Mustache-Security は、KnockoutJSのXSS脆弱性を説明しています...この脆弱性は、eval（または同等の）を使用して、data-bind属性のテキストを実行可能なスクリプトに変換することで発生します。ほとんどの例は、データバインド属性に挿入された場合に悪意のあるスクリプトが実行される可能性がある攻撃を示しています。

例（HTML/JavaScript/KnockoutJS）：

<script src="http://knockoutjs.com/downloads/knockout-3.0.0.debug.js"></script>
<div data-bind="click: alert(1)"></div>
<div data-bind="value: alert(2)"></div>
<div data-bind="style: alert(3)"></div>
...
<select data-bind="options: alert(99)"></select>
<script> 
ko.applyBindings();
</script>

例を定義したとおりに再現することはできますが、通常は、KnockoutJSを使用するときにJavaScriptをデータバインド属性に配置しないようにします。私はJavaScriptオブジェクトの監視可能なプロパティを参照して、ビューの動作をレイアウトから分離することを好みます。このアプローチを使用すると、JavaScriptが実行可能ではないことがわかりました。

例（HTML/JavaScript/KnockoutJS）：

<script src="http://knockoutjs.com/downloads/knockout-3.0.0.debug.js"></script>
<div data-bind="value: firstName"></div>
<script> 
var ViewModel = function() {
    this.firstName = ko.observable('alert(2)');
}

var vm = new ViewModel();
ko.applyBindings(vm); 
</script>

私のアプリケーションは、KnockoutJSを使用したという理由だけでXSSの危険にさらされていますか、それともサーバー側のコードを使用して、信頼できない入力をデータバインド属性に入れる方法を見つける必要がありますか？

例（ASP.NET/HTML/JavaScript/KnockoutJS）：

<div data-bind="value: <%=Request.QueryString("id")%>"></div>

攻撃者がJavaScriptを使用してページにスクリプトを挿入できれば、DOMを直接簡単に操作でき、KnockoutJSがXSSのリスクを増大させることはないと思います。

他に何か不足していますか？著者が説明するXSSの脆弱性を防ぐために他に何をする必要がありますか？