Output-Encoding ist eine Technik der sicheren Softwareentwicklung, bei der Daten vor der Ausgabe an den Browser oder ein anderes Zielsystem so umgewandelt werden, dass sie nicht als ausführbarer Code interpretiert werden können. Das ist die zentrale Gegenmaßnahme gegen Cross-Site-Scripting (XSS). Wird z. B. ein Benutzername mit eingebettetem JavaScript in einer HTML-Seite angezeigt, wandelt Output-Encoding die Sonderzeichen in harmlose HTML-Entities um. Die korrekte Encoding-Methode hängt vom Ausgabekontext ab: HTML, JavaScript, URL und CSS erfordern jeweils eine eigene Behandlung. Moderne Frameworks wie React übernehmen Output-Encoding standardmäßig, aber bei dynamisch erzeugtem HTML musst Du besonders aufpassen.