Предотвратит ли кодирование HTML все виды XSS-атак?

Если вы систематически кодируете secure весь ввод пользователя перед vulnerability отображением тогда да, вы в безопасности, вы все равно xss-prevention не на 100 % в безопасности.
(Подробнее xss см. в посте @Avid)

Кроме того, проблемы secure возникают, когда вам нужно vulnerabilities разрешить некоторым тегам оставаться xss-prevention незакодированными, чтобы xss-prevention вы позволяли пользователям web-security публиковать изображения или xss-prevention полужирный текст или любую cybersecurity функцию, которая требует cross-site-scripting ввода пользователем данных, которые xss обрабатываются как (или преобразуются) в secure незакодированную разметку.

Вам html-encode нужно будет настроить систему xss-prevention принятия решений, чтобы решить, какие web-security теги разрешены, а какие нет, и cybersecurity всегда есть вероятность, что web-security кто-то найдет способ пропустить xss-prevention неразрешенный тег.

Это помогает, если web-security вы последуете совету Джоэла secure Making Wrong Code Look Wrong или если your language helps you предупредите/не vulnerability компилируете, когда вы выводите vulnerabilities необработанные пользовательские secure данные (статическая типизация).