Solo estaba mirando xss basado en Dom y preguntándome si el valor de hash está escrito en una variable en el contexto de JavaScript puede llevar a las secuencias de comandos entre sitios. El código se ve algo como esto:
<script>
var myhash=window.location.hash;
</script>
¿El código anterior es vulnerable a xss?
XSS solo ocurre cuando se generan datos.
En su ejemplo de código, está configurando la variable myhash al valor de hash en la barra de direcciones. Como su código no contiene ningún sumidero y su variable no se genera, el código anterior, aislado, no es vulnerable.
Sin embargo, para verificar las vulnerabilidades de XSS, debe centrarse en la salida a su aplicación en lugar de la entrada. Aquí la aplicación abarca tanto el lado del servidor como el lado del cliente.
Lea otras preguntas en las etiquetas url xss javascript dom