XSS (межсайтовый скриптинг) - это когда злоумышленники внедряют вредоносные скрипты в веб-страницы для кражи информации пользователей или выполнения вредоносных операций. HTML-экранирование является фундаментальной защитой от XSS

Экранирование необходимо при отображении любого пользовательского ввода, включая комментарии, сообщения, данные форм и т.д. Любой контент, который может содержать HTML-теги, нуждается в экранировании

Оба обозначают < (знак «меньше»). &amp;lt; — именованная сущность (lt = less‑than), а &amp;#60;/&amp;#x3C; — числовые/шестнадцатеричные сущности. В современном HTML ведут себя одинаково: для читабельности используйте &amp;lt;; &amp;#60;/&amp;#x3C; — там, где именованные сущности не поддерживаются или для произвольных символов/между разными языками разметки. Точку с запятой в конце необходимо сохранять (например, &amp;lt;); без неё парсер может «склеить» с последующими буквами, например „&amp;notin“ станет „&amp;not;“+„in“ → „¬in“

Нет. HTML-экранирование работает только в HTML-контексте. Контексты JavaScript, CSS и URL требуют разных методов экранирования

Это происходит, когда контент экранируется дважды. Сначала &lt; становится &amp;lt;, затем &amp; экранируется в &amp;amp;, результатом является &amp;amp;lt;. Избегайте повторного экранирования