El título prácticamente lo dice todo. Parece contraintuitivo escapar dentro de un bloque <noscript>
porque no se debe ejecutar ningún js que un atacante pueda inyectar allí. Pero, todavía soy bastante nuevo en esto, así que pensé que sería prudente preguntar.
Para mayor claridad, este es el contexto del que estoy hablando:
<noscript>
<img src="<?php echo 'Should I escape this url' ?>" />
</noscript>