So che il simbolo della percentuale deve essere codificato in URL quando viene passato in giro, ma quando lo visualizzo nel browser, è anche necessario evaderlo in questo modo: %?Il simbolo percentuale (%) deve sempre essere in formato HTML?
Negli URL, il segno di percentuale (%) ha un special meaning, quindi deve essere sottoposto a escape. In HTML, no, quindi non è necessario evitarlo.
Se si parla di testo HTML, visibile al lettore, no. Non può fare nulla di dannoso, lì.
... se stai parlando di attributi HTML, allora sì, sarebbe bene prendere in considerazione.
URL e HTML sono lingue diverse, per quanto strano possa sembrare, quindi presentano diversi punti deboli.
Vorrei aggiungere questo - se si utilizza javascript in href, ci sono anche problemi. Controllare questo esempio:
Una delle soluzioni alternative potrebbero utilizzare onclick invece di href.