Perché dovrei convertire & in & nella prevenzione XSS?

Come dicono i commenti e dal tuo documento collegato:

Rule #1 is for when you want to put untrusted data directly into the HTML body somewhere. This includes inside normal tags like div, p, b, td, etc.

Quindi la tua domanda può essere risolta con "perché applichi la regola sbagliata per il tuo contesto".

Ma per citare anche la regola applicabile:

The reason this rule is so broad is that developers frequently leave attributes unquoted. Properly quoted attributes can only be escaped with the corresponding quote. Unquoted attributes can be broken out of with many characters, including [space] % * + , - / ; < = > ^ and |.

Quindi, sì, se costantemente e sempre usi le virgolette sugli attributi, devi solo sfuggire a quelli. Ma questo ha solo bisogno di un errore e le cose vanno a pezzi, quindi la regola generale è di essere più rigorosi del necessario.

Codificare & in & non ti salverà da alcun attacco XSS, ma è necessario per codificare correttamente il testo che un utente inserisce in HTML.

Ad esempio, se non lo fai, un utente che vuole parlare di entità HTML e digita i cinque caratteri & a m p ; vedrà il sito mostrare i loro testo come & nel browser. Un utente che parla della prevenzione XSS spiegando < to &lt; vedrà il suo testo visualizzato sul sito come < to < , confondendo tutti. A meno che tu non avverta in modo specifico gli utenti che i loro post saranno (parzialmente) interpretati come HTML e che dovrebbero codificare in modo entità i propri messaggi, è una cosa che dovresti fare per correttezza, non necessariamente sicurezza.

" può essere dannoso, come suggerito da altri.

E con Simple DOM, anche le regole CORS possono essere ignorate.

Modifica: grazie a @Anders, il codice che avevo in precedenza dovuto funzionare non funzionava.