google-code-prettifyは、エスケープされたシーケンスではなく、エスケープ文字自体を「プリティフィケーション」することにより、コードブロック内のHTMLエスケープを処理します。例:
元のHTML<code class="prettyprint lang-sql"> ... > ... </code>
は次のようになります。
<span class="pun">&</span><span class="pln">gt</span><span class="pun">;</span>
明らかに間違ったレンダリングで。<code>
信頼できるソースからのものではなく、XSSベクトルとして使用できるため、エスケープされていないHTMLを内部に返すことはできません。
私の質問は、google-pretty-printに正しいことを強制し、コンテンツを<code>
生のテキストではなくHTML(エスケープ)と見なす方法があるかどうかです。