Безопасная передача переменной из php в js

Как безопасно передать содержимое переменной php в переменную js при условии, что фильтрацию и экранирование символов выполнить невозможно?

Я правильно понимаю, что наиболее безопасным в этом случае является взятие переменной через xhr/ajax-запросы (вместо обычной php-инъекции в коде)? Это будет безопасным до тех пор, пока я не использую .innerHTML и прочие подобные функции?

<?php
// ...
$response = ['myvar' => $var];
echo json_encode($response); 
?>

Js

$.ajax({
    url: getmyvar.php,
    dataType: 'json',
    success: function(res) {
        alert(res["myvar"]);
    }
});

Более изящного способа, не требующего дополнительного «экранирующего» запроса, не существует? (небезопасное содержимое находится в одной из переменной сессий)