Pensateci: come è il codice HTML codificato? Ad esempio, potrebbe assomigliare a questo:
<a href="www.stackoverflow.com">
così sarà il rendering sul client, come i letterali (come < a href = "www.stackoverflow.com" >), non come HTML. Significa che non vedrai un link effettivo, ma il codice stesso.
Gli attacchi XSS funzionano sulla base del fatto che qualcuno può far sì che un browser client analizzi l'HTML che il provider del sito non intendeva essere lì; se quanto sopra non fosse codificato, significherebbe che il collegamento fornito sarebbe incorporato nel sito, sebbene il fornitore del sito non lo volesse.
XSS è ovviamente un po 'più elaborato di quello, e di solito coinvolge anche JavaScript (da qui il Cross Site Scripting), ma a scopo dimostrativo questo semplice esempio dovrebbe essere sufficiente; è lo stesso con il codice JavaScript come con i tag HTML semplici, poiché XSS è un caso speciale dell'iniezione HTML più generale.
Non sono sicuro del motivo per cui qualcuno farebbe una risposta negativa a questa domanda. Mi sembra abbastanza ragionevole.Inoltre è importante avere una buona conoscenza di come funzionano le vulnerabilità del web in modo che possano essere evitate. – zzzzBov