Что такое XSS и как от него защититься?

XSS (Cross-Site Scripting) — атака, при которой злоумышленник внедряет JavaScript-код на страницу через пользовательский ввод. Если ты выводишь данные без экранирования — скрипт выполнится в браузере жертвы. Защита на бэкенде: экранируй HTML при выводе (html/template в Go делает это автоматически), ставь заголовок Content-Security-Policy, используй HttpOnly cookies (JavaScript не достанет). В API-бэкенде XSS менее актуален, потому что фронтенд (React/Vue) сам экранирует. Но если рендеришь HTML на сервере — обязательно используй html/template, а не text/template.