対応しました。
(Revision: 1640)

勘違いに気づきました。

onclick="document.write("<b>xxx</b>");"

↑のようにエスケープされていても、javascriptとして↓のように解釈されて実行されるのですね。

document.write('<b>xxx</b>');

ですので、

• writeAttribute
  • 今まで通り
• writeURIAttribute
  • "javascript:"だったらwriteAttributeと同様にエスケープする

というロジックにすればOKそうです。

ではwriteURIAttributeの方も対応しますね。

• writeURIAttribute
• writeAttribute

どちらでも、"javascript:"で始まったら何もエスケープしないようにします。

修正をありがとうございます。
でも、writeURIAttributeに関しても、修正が必要です。現在、遭遇している問題は、form タグの action などURLを扱うところで、javascript :を書いたときに発生しています。そのため、MyFacesとかでは、チェックしてエスケープしないようにしているみたいです。
writeAttributeについては、確かにその修正があった方が良いような気がします。でも、MyFacesもSunRIもjavascript:をチェックなどしてないですね・・・。

writeURIAttributeではなくてwriteAttributeの方で、"javascript:"に対応しました。
"javascript:"を書くのはonclick属性等のevent系と考えたためです。
(onXxxxxはwriteAttributeにしているので。writeURIAttributeの方が良いのかな? どうでしょう??)

りょーかいです。
(TODOには入れていたのです)