几年前，我们收到一份报告，说我们的一个web应用程序在Firefox中不能正确显示。事实证明，该页面包含一个类似于

<div style="..." ... style="...">

当面对重复的样式属性时，Internet Explorer结合了这两种样式，而Firefox只使用其中一种，因此行为不同。我把标签改成了

<div style="...; ..." ...>

果然，它解决了问题!这个故事的寓意是，浏览器对有效HTML的处理比对无效HTML的处理更一致。所以，现在就修改你该死的加价吧!(或者使用HTML Tidy来修复它。)

除了验证之外，编码某些字符对于HTML文档来说是很重要的，这样它才能正确安全地呈现为网页。

编码& as &在任何情况下，对我来说，这是一个更容易遵守的规则，减少了错误和失败的可能性。

比较一下:哪个更容易?哪个更容易搞砸?

方法1

写一些包含&字符的内容。 将它们全部编码。

方法2

(请加一点盐;))

写一些包含&字符的内容。 在具体情况的基础上，查看每个&号。确定:

它是孤立的，因此毫无疑问是一个&号。如。伏特和安培>在这种情况下，就不用费心编码了。 它不是孤立的，但您仍然觉得它是明确的，因为生成的实体不存在，也永远不会存在，因为实体列表永远不会演化。例如，安培和伏特>。在这种情况下，不要费心编码它。 它不是孤立的，也不是模棱两可的。例如，电压和安培>编码。

??

如果&在HTML中使用，那么你应该转义它。

如果&在JavaScript字符串中使用，例如，一个警报('This & that');或文档。你不需要用它。

如果你使用文档。写完之后你就应该使用它，例如:document。写(< p >,< / p >)。

HTML5规则不同于HTML4。在HTML5中它不是必需的——除非&号看起来像一个参数名的开头。"&copy=2"仍然是一个问题，例如，因为&copy;是版权符号。

然而，在我看来，决定编码或不编码取决于下面的文本是更困难的工作。所以最简单的方法就是一直编码。

你能告诉我们你的头衔是什么吗?当我提交时

<!DOCTYPE html>
<html>
<title>Dolce & Gabbana</title>
<body>
<p>Am I allowed loose & mpersands?</p>
</body>
</html>

到http://validator.w3.org/ -明确要求它使用实验性的HTML 5模式-它没有抱怨&s…

如果你说的是静态文本

<title>Foo & Bar</title>

存储在硬盘上的某个文件中并直接由服务器提供，那么是的:它可能不需要转义。

然而，由于现在很少有HTML内容是完全静态的，我将添加以下免责声明，假设HTML内容是从其他来源生成的(数据库内容、用户输入、web服务调用结果、遗留API结果，……):

如果你不转义一个简单的&，那么很可能你也不转义&或a &nbsp;或<b>或<script src="http://attacker.com/evil.js">或任何其他无效文本。这意味着您最多只能错误地显示您的内容，并且更有可能受到XSS攻击。

换句话说:当您已经检查和转义其他更有问题的情况时，那么几乎没有理由留下没有完全损坏但仍然有点可疑的独立&未转义的情况。