你应该逃避因为它可以用来规避其他防御.考虑这个代码：

<button onclick="confirm('Do you really want to delete <%= data_from_user; %> ?'">Delete</button>

为了防范onclick事件处理程序中的XSS,开发人员在data_from_user中转义“,”和>,并认为一切正常,问题是如果攻击者输入&39;它通过转义但结束允许攻击者运行javascript.

示例：http://erlend.oftedal.no/blog/?blogid=124