这取决于分号在&附近结束的可能性，导致它显示完全不同的内容。

例如，当处理来自用户的输入时(例如，如果在标题标签中包含用户提供的论坛帖子的主题)，您永远不知道他们可能会在哪里放置随机分号，并且可能会随机显示奇怪的实体。所以在这种情况下一定要逃避。

当然，对于您自己的静态HTML内容，您可以跳过它，但是包含适当的转义太琐碎了，因此没有理由避免它。

HTML5规则不同于HTML4。在HTML5中它不是必需的——除非&号看起来像一个参数名的开头。"&copy=2"仍然是一个问题，例如，因为©是版权符号。

然而，在我看来，决定编码或不编码取决于下面的文本是更困难的工作。所以最简单的方法就是一直编码。

是的，如果可能的话，您应该尝试提供有效的代码。

大多数浏览器会无声地纠正这个错误，但是依赖浏览器中的错误处理存在一个问题。对于如何处理不正确的代码没有标准，因此每个浏览器供应商都要尝试找出如何处理每个错误，结果可能会有所不同。

一些浏览器可能会有不同反应的例子是，如果你把元素放在表格中，但在表格单元格之外，或者你把链接嵌套在彼此之间。

对于您的特定示例，它不太可能导致任何问题，但是浏览器中的错误更正可能会导致浏览器从标准兼容模式变为怪癖模式，这可能会使您的布局完全崩溃。

因此，您应该在代码中纠正这样的错误，如果没有其他错误，则可以使验证器中的错误列表保持简短，以便您可以发现更严重的问题。

是的。正如错误所示，在HTML中，属性是#PCDATA，这意味着它们被解析了。这意味着您可以在属性中使用字符实体。使用&本身是错误的，如果不是因为浏览器宽容，而且这是HTML而不是XHTML，就会破坏解析。转义为&一切都会好起来的。

HTML5允许你不转义它，但只有当后面的数据看起来不像一个有效的字符引用。但是，最好是忽略这个符号的所有实例，而不是担心哪些应该是，哪些不需要是。

记住这一点;如果你没有转义&到&，这对你创建的数据来说已经很糟糕了(代码很可能是无效的)，你也可能没有转义标记分隔符，这对用户提交的数据来说是一个巨大的问题，这很可能导致HTML和脚本注入，cookie窃取和其他漏洞。

请转义你的代码。这将在将来为您省去很多麻烦。

如果你说的是静态文本

<title>Foo & Bar</title>

存储在硬盘上的某个文件中并直接由服务器提供，那么是的:它可能不需要转义。

然而，由于现在很少有HTML内容是完全静态的，我将添加以下免责声明，假设HTML内容是从其他来源生成的(数据库内容、用户输入、web服务调用结果、遗留API结果，……):

如果你不转义一个简单的&，那么很可能你也不转义&或a &nbsp;或<b>或<script src="http://attacker.com/evil.js">或任何其他无效文本。这意味着您最多只能错误地显示您的内容，并且更有可能受到XSS攻击。

换句话说:当您已经检查和转义其他更有问题的情况时，那么几乎没有理由留下没有完全损坏但仍然有点可疑的独立&未转义的情况。

如果&在HTML中使用，那么你应该转义它。

如果&在JavaScript字符串中使用，例如，一个警报('This & that');或文档。你不需要用它。

如果你使用文档。写完之后你就应该使用它，例如:document。写(< p >,< / p >)。