Depende enormemente del contexto.
Además, codificar menos que solo no es tan rápido como una idea. Usted sólo debe codificar todos los caracteres que tienen un significado especial y podrían utilizarse para XSS ...
Para una ejemplo trivial de dónde codificar menos de lo que no importará es algo como esto ...
Bienvenido a Dodgy Site. Por favor, enlace a su página de inicio.
usuario malicioso entra ...
http://www.example.com" onclick="window.location = 'http://nasty.com'; return false;
que se hace, obviamente, ...
<a href="http://www.example.com" onclick="window.location = 'http://nasty.com'; return false;">View user's website</a>
Tenía ha codificado comillas dobles, que el ataque no sería válido.
+1 para el excelente ejemplo – Yahel
+1 - Buen ejemplo. – Kyle
@alex - ¿Crees que solo la codificación 'less than 'estaría bien si el único lugar en el que alguna vez emití el contenido fuera'
$ outputcontenthere
'? – Kyle