HTML转义需特殊字符，详解使用方法

HTML转义远非简单替换字符，而是需严格匹配使用场景的上下文敏感操作——在属性值中混用引号易导致解析断裂或XSS漏洞，推荐优先采用JSON序列化结合HTML转义的双重防护，或更优地将结构化数据移至

HTML转义本质是替换字符实体，不是“加特殊字符”

HTML转义不是给原始文本额外添加什么特殊符号，而是把有特殊含义的字符（比如 <、>、&、"、'）替换成对应的命名或数字字符实体。浏览器看到 < 就渲染成 ，而不是把它当字面量显示——关键在「语义隔离」：让这些字符不被解析为HTML结构的一部分。

常见误解是以为转义要手动拼 < 或加反斜杠，其实现代方法基本靠函数/库自动处理，手动拼错风险极高。

哪些字符必须转义？优先级和场景差异明显

并非所有“看起来奇怪”的字符都要转，真正影响HTML解析的只有5个基础字符，其余取决于上下文：

• < 和 >：必须转，否则会被当成标签起始/结束，直接破坏DOM结构
• &：必须转，否则可能被误认为字符实体开头（如  ），导致截断或乱码
• "：仅在属性值用双引号包裹时才需转（如 title="He said "Hi""），单引号属性里可不转
• '：同理，只在单引号属性中必要，且IE8-不支持，实际多用 '
• 中文、emoji、©、® 等：本身无HTML语法意义，无需转义；但若出现在URL或JS字符串中，需按对应规则编码（不是HTML转义）

不同语言里常用转义函数行为不一致

各语言标准库对“转义范围”默认策略不同，不能假设行为统一：

• JavaScript：textContent 自动规避解析，最安全；innerHTML 赋值前必须手动转义，可用 DOMPurify.sanitize() 或正则 .replace(/&/g, '&').replace(/, '<')...
• Python：html.escape() 默认只转 &、<、>、"、'；传 quote=False 会跳过引号，适合非属性场景
• PHP：htmlspecialchars() 默认只转前4个，ENT_QUOTES 标志才包含单引号；htmlentities() 会转更多字符（如中文），通常没必要
• Node.js（server）：res.send() 不自动转义，模板引擎如 EJS 的 <%= %> 是非转义，<%- %> 才转义——容易搞反

容易被忽略的坑：属性值里的转义嵌套和JSON混用

当HTML属性值来自动态数据（尤其是JSON序列化结果），极易出问题：

• 不要把未转义的JSON字符串直接塞进 data-xxx 属性：
  中的单引号会提前闭合属性，导致解析失败
• 正确做法：先用语言内置JSON序列化（它会自动处理引号转义），再对整个字符串做HTML转义；或统一用双引号属性 + json_encode(..., JSON_HEX_QUOT)（PHP）
• 更稳妥方案：避免在HTML属性里塞复杂结构，改用