Экранирование HTML-объекта для предотвращения XSS

I h Есть некоторый пользовательский ввод. В моем коде я гарантирую, что следующие символы экранированы:

& -> & 
< -> < 
> -> >

OWASP утверждает, что есть еще символы, которые нужно экранировать.

Для атрибутов я использую другой вид экранирования:

& -> & 
" -> "

Это гарантирует, что все атрибуты заключены в ". Это дает мне уверенность в моих html-атрибутах, но не в самом HTML.

Интересно, могу ли я использовать экранирование. Я прочитал этот пост , но все еще не уверен, что меня беспокоит.

(JavaScripts экранируются с помощью библиотеки OWASP)