XSS (Cross‑Site Scripting) वह स्थिति है जब हमलावर वेब पेज में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करते हैं, ताकि उपयोगकर्ता की जानकारी चुरा सकें या हानिकारक कार्य करा सकें। HTML एस्केपिंग XSS के विरुद्ध मूलभूत सुरक्षा उपायों में से एक है।

जब भी आप कोई उपयोगकर्ता इनपुट प्रदर्शित करते हैं—जैसे टिप्पणी, संदेश, फ़ॉर्म डेटा आदि—तो एस्केपिंग आवश्यक है। जो भी सामग्री HTML टैग शामिल कर सकती है, उसे एस्केप करना चाहिए।

दोनों < (less‑than) का प्रतिनिधित्व करते हैं। &lt; एक नेम्ड एंटिटी है (lt = less‑than); &#60;/&#x3C; न्यूमेरिक/हेक्स एंटिटी हैं। आधुनिक HTML में उनका व्यवहार लगभग समान है: पठनीयता के लिए &lt; उपयोग करें; जब नेम्ड एंटिटी उपलब्ध न हों या किसी भी मनमाने कैरेक्टर/मार्कअप के लिए हो, तो &#60;/&#x3C; उपयोग कर सकते हैं। हमेशा अंतिम सेमीकोलन (जैसे &lt;) जोड़ें; इसके बिना पार्सिंग, बाद के अक्षरों से चिपक सकती है, उदाहरण के लिए “&notin” को “&not;”+“in” → “¬in” की तरह पढ़ा जा सकता है।

नहीं। HTML एस्केपिंग केवल HTML संदर्भ में काम करती है। JavaScript, CSS और URL संदर्भ के लिए अलग‑अलग एस्केपिंग तरीकों की आवश्यकता होती है।

यह तब होता है जब कंटेंट दो बार एस्केप हो जाता है। पहले <, &lt; बनता है, फिर & को एस्केप करके &amp; बना दिया जाता है, जिससे &amp;lt; बनता है। दोहराए गए एस्केप से बचें।