Javascript es un motor que ejecuta el código del lado del cliente. Si permite que Jemascript no controlado de terceros en su sitio, eso significa que los visitantes potenciales de su sitio pueden ejecutar código arbitrario en su navegador.
Los daños pueden venir en varios niveles:
- más sencillo y ligero: simplemente juega con el navegador. Como ejemplo, inicie un bucle de fondo que muestre elementos emergentes
- un poco más avanzado: elimine el menú del navegador e intercepte el evento de cierre para evitar que el usuario simplemente cierre la aplicación para deshacerse de las ventanas emergentes
- aún un paso más allá, juegue con la configuración del navegador almacenada cambiando los accesos directos o favoritos para llamar a una página infectada
- más difícil pero más dañino: use las fallas de los navegadores para escapar del navegador sandbox y acceda directamente al sistema subyacente
Según el sistema, el navegador y sus configuraciones, algunos de esos ataques no serán posibles. Pero incluso el más ligero, el bucle de fondo que abre continuamente las ventanas emergentes es extremadamente molesto para un usuario, y puede estar seguro de que nunca más volverá a su sitio.