Os cinco caracteres recomendados pela OWASP para evitar injeções de XSS são&, <, >, ", '.

Entre eles, não consigo entender por que&(e comercial) deve ser ignorado e como pode ser usado como vetor para injetar script. Alguém pode dar um exemplo de que todos os outros quatro caracteres que escaparam, mas não são "e comercial", então haverá vulnerabilidade à injeção de XSS.

Eu verifiquei a outra pergunta, mas essa resposta realmente não torna as coisas mais claras.