如果用户将它传递给您，或者它将在URL中结束，您需要转义它。

如果它以静态文本的形式出现在页面上?所有浏览器都能正确地处理这个问题，您不必太担心，因为它可以工作。

HTML5规则不同于HTML4。在HTML5中它不是必需的——除非&号看起来像一个参数名的开头。"&copy=2"仍然是一个问题，例如，因为©是版权符号。

然而，在我看来，决定编码或不编码取决于下面的文本是更困难的工作。所以最简单的方法就是一直编码。

如果用户将它传递给您，或者它将在URL中结束，您需要转义它。

如果它以静态文本的形式出现在页面上?所有浏览器都能正确地处理这个问题，您不必太担心，因为它可以工作。

如果你说的是静态文本

<title>Foo & Bar</title>

存储在硬盘上的某个文件中并直接由服务器提供，那么是的:它可能不需要转义。

然而，由于现在很少有HTML内容是完全静态的，我将添加以下免责声明，假设HTML内容是从其他来源生成的(数据库内容、用户输入、web服务调用结果、遗留API结果，……):

如果你不转义一个简单的&，那么很可能你也不转义&或a &nbsp;或<b>或<script src="http://attacker.com/evil.js">或任何其他无效文本。这意味着您最多只能错误地显示您的内容，并且更有可能受到XSS攻击。

换句话说:当您已经检查和转义其他更有问题的情况时，那么几乎没有理由留下没有完全损坏但仍然有点可疑的独立&未转义的情况。

是的，如果可能的话，您应该尝试提供有效的代码。

大多数浏览器会无声地纠正这个错误，但是依赖浏览器中的错误处理存在一个问题。对于如何处理不正确的代码没有标准，因此每个浏览器供应商都要尝试找出如何处理每个错误，结果可能会有所不同。

一些浏览器可能会有不同反应的例子是，如果你把元素放在表格中，但在表格单元格之外，或者你把链接嵌套在彼此之间。

对于您的特定示例，它不太可能导致任何问题，但是浏览器中的错误更正可能会导致浏览器从标准兼容模式变为怪癖模式，这可能会使您的布局完全崩溃。

因此，您应该在代码中纠正这样的错误，如果没有其他错误，则可以使验证器中的错误列表保持简短，以便您可以发现更严重的问题。

好吧，如果它来自用户输入，那么绝对是，因为显而易见的原因。想想如果这个网站没有这样做:这个问题的标题会显示为:我真的需要将“&”编码为“&”吗?

如果它只是echo '<title>Dolce & Gabbana</title>';严格来说，你不需要这么做。这样会更好，但如果你不这样做，没有用户会注意到区别。