Limpar todos os eventos inline de tags HTML
Para entrada HTML, eu quero neutralizar todos os elementos HTML que possuem js inline (onclick = "..", onmouseout = ".." etc). Eu estou pensando, não é o suficiente para codificar os seguintes caracteres? =, (,)
Então onclick = "location.href = 'ggg.com'"
vai se tornar onclick% 3D "location.href% 3D'ggg.com '"
O que estou perdendo aqui?
Edit: Eu preciso aceitar HTML ativo (eu não posso fugir de tudo ou entidades é).