「属性値は括弧でくくれ」その上で<や>、"、'、を文字参照しておく。
というのが定番なのですが、ここで大質問です。
「属性値は括弧でくくっていない」場合に、文字参照する対象として新たに「=」を加えた場合に、属性追加によるXSS攻撃ベクタは依然として存在していますでしょうか？
「=」をエスケープしても駄目なケースや、副作用について考えられることをいろいろと教えてください。
foolsafeぐらいにはなっていますでしょうか。