Для ввода HTML я хочу нейтрализовать все элементы HTML, имеющие встроенный js (onclick = & quot; .. & quot ;, onmouseout = & quot; .. & quot; и т. Д.). Я думаю, разве этого недостаточно, чтобы закодировать следующие символы? знак равно

Поэтому onclick = & quot; location.href = "ggg.com" & quot;
 станет OnClick% 3D & Quot; location.href% 3D & APOS; ggg.com & APOS; & Quot;

Что мне здесь не хватает?

Изменить: мне нужно принять активный HTML (я не могу избежать всего этого или сущностей это).