Consulta de Xss basada en Dom - location.hash

3

Solo estaba mirando xss basado en Dom y preguntándome si el valor de hash está escrito en una variable en el contexto de JavaScript puede llevar a las secuencias de comandos entre sitios. El código se ve algo como esto:

<script>
var myhash=window.location.hash;
</script>

¿El código anterior es vulnerable a xss?

    
pregunta Sanchit Sharma 22.06.2015 - 06:39
fuente

1 respuesta

2

XSS solo ocurre cuando se generan datos.

En su ejemplo de código, está configurando la variable myhash al valor de hash en la barra de direcciones. Como su código no contiene ningún sumidero y su variable no se genera, el código anterior, aislado, no es vulnerable.

Sin embargo, para verificar las vulnerabilidades de XSS, debe centrarse en la salida a su aplicación en lugar de la entrada. Aquí la aplicación abarca tanto el lado del servidor como el lado del cliente.

    
respondido por el SilverlightFox 22.06.2015 - 11:24
fuente

Lea otras preguntas en las etiquetas