Es war schon immer empfohlen, Ausgaben, die auf Eingaben eines Benutzers basieren, durch die HTMLZeichenkodierung laufen zu lassen, um zu verhindern, dass Benutzer durch eingeschleuste HTML-Tags die Formatierung der Seite durcheinander bringen oder gar JavaScript zur Ausführung bringen.

Ein typisches Szenario ist ein Forum: Ein Benutzer kann eine Nachricht eingeben. Es wird davon ausgegangen, dass er nur Text eingibt. Aber was passiert, wenn er stattdessen ein JavaScript ablegt? Durch die HTMLZeichenkodierung wird dann erreicht, dass beim Anzeigen einer solchen Nachricht nicht das JavaScript ausgeführt wird, sondern der JavaScript-Quellcode erscheint.

Bisher schon war die HTML-Zeichenkodierung ...