Действия, которые вставляют URL-адреса в атрибут содержимого метатегов HTML, не экранируются. Это может разрешить XSS, если метатег также имеет атрибут http-equiv со значением «обновить». Был добавлен новый параметр GODEBUG, htmlmetacontenturlescape, который можно использовать для отключения экранирования URL-адресов в действиях в атрибуте метаконтента, который следует за «url=", установив htmlmetacontenturlescape=0.
Показать оригинальное описание (EN)
Actions which insert URLs into the content attribute of HTML meta tags are not escaped. This can allow XSS if the meta tag also has an http-equiv attribute with the value "refresh". A new GODEBUG setting has been added, htmlmetacontenturlescape, which can be used to disable escaping URLs in actions in the meta content attribute which follow "url=" by setting htmlmetacontenturlescape=0.