Почему HTML-кодирование предотвращает некоторые XSS-атаки?

Я читал, что вы HTML кодируете на обратном пути от сервера к клиенту (я думаю?), и это предотвратит многие типы XSS-атак. Однако я совершенно не понимаю. HTML все равно будет потребляться и отображаться браузером, верно?

Как это может что-то предотвратить?

Я читал об этом во многих местах, на сайтах и в книгах, и нигде не объясняется, почему это работает.