XSS - внедрение скриптов через контент страницы. В Go при выводе в HTML экранировать данные: template пакет по умолчанию экранирует {{ }}; при ручной сборке HTML использовать html.EscapeString. Не выводить непроверенный пользовательский ввод без экранирования. Content-Type и заголовки (X-Content-Type-Options, CSP) снижают риски.
import "html"
safe := html.EscapeString(userInput)
// в шаблоне: {{ . }} уже экранируется