Quero escapar para o XSS em um contexto HTML e até agora trato o<, > e" personagens. Aparentemente, é recomendável escapar do e comercial também, mas por quê? (Além de manter o HTML válido, vamos supor que isso não seja um problema)

Então, o que estou perguntando é: quando eu escapar<, > e", alguém pode demonstrar como oe comercial ainda pode permitir um ataque XSS em um contexto HTM

Felicidades