Я хочу сбежать для XSS в html-контексте, и до сих пор я обрабатываю символы <, > и ". По-видимому, рекомендуется избегать амперсанда, но почему? (За исключением того, что для сохранения html допустимо, допустим, что это не проблема)
Так что я спрашиваю: Когда я убегу <, > и ", может ли кто-нибудь продемонстрировать, как амперсанд может позволить XSS-атаку в контексте html?
Ура!