HTML экранирование/разэкранирование

Используйте экранирование HTML, когда ненадежный текст вставляется в контекст содержимого или атрибута HTML. Отдавайте предпочтение textContent или экранированию по умолчанию вашей платформы для обычного текста и используйте другое экранирование для контекстов JavaScript, CSS, URL или JSON.

Оба обозначают < (знак «меньше»). &amp;lt; — именованная сущность (lt = less‑than), а &amp;#60;/&amp;#x3C; — числовые/шестнадцатеричные сущности. В современном HTML ведут себя одинаково: для читабельности используйте &amp;lt;; &amp;#60;/&amp;#x3C; — там, где именованные сущности не поддерживаются или для произвольных символов/между разными языками разметки. Точку с запятой в конце необходимо сохранять (например, &amp;lt;); без неё парсер может «склеить» с последующими буквами, например „&amp;notin“ станет „&amp;not;“+„in“ → „¬in“

Нет. Экранирование HTML работает только для контекстов объектов HTML. Строки JavaScript, CSS, URL-адреса, JSON и расширенный HTML требуют разной обработки.

Это происходит, когда контент экранируется дважды. Сначала &lt; становится &amp;lt;, затем &amp; экранируется в &amp;amp;, результатом является &amp;amp;lt;. Избегайте повторного экранирования

Используйте санитарную обработку, а не этот инструмент спасения. Дезинфицирующее средство может включать в список разрешенных безопасные теги и атрибуты, фильтровать протоколы и удалять события или стили. Используйте такие библиотеки, как DOM Purify или sanitize-html, по возможности выполняйте дезинфекцию на сервере и используйте textContent для простого текста.