你正在使用的Go版本是什么( go version )?

$ go version
go version go1.15.6 darwin/amd64

这个问题在最新版本中是否会重现？

是的

你正在使用什么操作系统和处理器架构( go env )?

darwin/amd64
go env 输出

$ go env
GO111MODULE=""
GOARCH="amd64"
GOBIN=""
GOCACHE="/Users/mariano/Library/Caches/go-build"
GOENV="/Users/mariano/Library/Application Support/go/env"
GOEXE=""
GOFLAGS=""
GOHOSTARCH="amd64"
GOHOSTOS="darwin"
GOINSECURE=""
GOMODCACHE="/Users/mariano/go/pkg/mod"
GONOPROXY=""
GONOSUMDB=""
GOOS="darwin"
GOPATH="/Users/mariano/go"
GOPRIVATE=""
GOPROXY="https://proxy.golang.org,direct"
GOROOT="/usr/local/Cellar/go/1.15.6/libexec"
GOSUMDB="sum.golang.org"
GOTMPDIR=""
GOTOOLDIR="/usr/local/Cellar/go/1.15.6/libexec/pkg/tool/darwin_amd64"
GCCGO="gccgo"
AR="ar"
CC="clang"
CXX="clang++"
CGO_ENABLED="1"
GOMOD=""
CGO_CFLAGS="-g -O2"
CGO_CPPFLAGS=""
CGO_CXXFLAGS="-g -O2"
CGO_FFLAGS="-g -O2"
CGO_LDFLAGS="-g -O2"
PKG_CONFIG="pkg-config"
GOGCCFLAGS="-fPIC -m64 -pthread -fno-caret-diagnostics -Qunused-arguments -fmessage-length=0 -fdebug-prefix-map=/var/folders/6g/rqtbx_fd6ljgvql610mhh7sr0000gn/T/go-build388033793=/tmp/go-build -gno-record-gcc-switches -fno-common"

你做了什么？

在Javascript字符串内部存在一个标签 </script>,这会破坏上下文并可能导致代码注入。
在以下示例中，第一个变量被正确引用，但在 "</script>" 之后的变量没有被视为Javascript字符串，而是显示了go表示形式
https://play.golang.org/p/_XqZ3NtXYVE

你期望看到什么？

<script>var b = {"foo": "foo", "script": "</script>", "bar": "bar"}</script>

你实际看到了什么？

<script>var b = {"foo": "foo", "script": "</script>", "bar": bar}</script>