Für die HTML-Eingabe möchte ich alle HTML-Elemente mit Inline-Js neutralisieren (onclick = "..", onmouseout = ".." usw.). Ich denke, ist es nicht genug, die folgenden Zeichen zu kodieren? =, (,)

Also onclick = "location.href = 'ggg.com'"
wird auf% 3D "location.href% 3D'ggg.com" geklickt

Was vermisse ich hier?

Bearbeiten: Ich muss aktives HTML akzeptieren (ich kann es nicht alle oder Entitäten es ist).