Ладно, пока ждем я объясню.
С сервера приходит строка, чтобы обезопасить сайт от xss(ведь кто знает, что мне сервер может прислать, это может быть и javascript), который если я вставлю в свой элемент, он же атрибут, то будет ой как не хорошо.
Вот я и хочу закодировать символы, которые будут приходить с сервера и при этом отображаться корректно в атрибутах.
Кстати, как вариант - можно использовать hex, то есть:

var hex = '&'.charCodeAt().toString(16); // 26
div.setAttribute('title', "\x" + hex); // error
div.setAttribute('title', "\x26"); // СУПЕР

Как видите, я не могу писать так "\x" + hex сразу ошибка.

А вот и решение, может кому-то пригодится

var hex = '&'.charCodeAt().toString();
div.setAttribute('title', String.fromCharCode(hex));

потому что ты наверное плохо объясняешь, неужели не понятно?

приведи пример, как ты можешь пострадать в указанном тобою случае, чтобы делать то, что ты предлагаешь

придет с сервера вот такая штука <script>alert("xss")</script>

пришёл, ты вставил это в атрибут или даже в innerHTML, скрипт исполнился?

придет с сервера вот такая штука <script>alert("xss")</script>

Без вашего ведома такое вообще-то с сервера никак не может прийти, если же приходит значит вы не контролируете ситуацию на нем.
Другой случай, это уже атаки типа "человек по середине", но превращать нужно не символы в unicod, а "опасные" символы в html-сущности <, >, &.