Quiero escapar para XSS en un contexto HTML, y hasta ahora trato el<, > y" caracteres. Aparentemente también se recomienda escapar del ampersand, pero ¿por qué? (Aparte de mantener el HTML válido, supongamos que esto no es un problema)

Así que lo que pregunto es: cuando escapo<, > y", ¿alguien puede demostrar cómo el ampersand todavía puede permitir un ataque XSS en un contexto HTML?

¡Salud