Вспомнил, была недавно похожая коллизия. Мне надо было записать уже отрендеренный урл в датасет ссылки на картинку - чтобы заголовок этой картинки сделать ссылкой на товар. Оказалось если просто всунуть <a href=""> в дата-сет, который сам начинается с " то барахло вылезает на страницу как халявный мозг из соломенной башки Страшилы.
Сперва я потратил время чтобы заменить все ' на \' и добился результата. Потом подумал что надо было попробовать
http://ru2.php.net/htmlentities и попробовал. Хлам исчез. Было полез думать как теперь в JS из ентитек сделать нормальный html но недолез - щелкнул по ссылке и она открылась. Задумалсо: почему все эти <a href="http:... попадая в innerHTML спана спокойно превращаются в ссылку.
title.innerHTML='Фото '+(index+1)+' из '+images_length+': '+this.dataset.link; // это оно
Так и не понял.