Dependiendo de lo que haga el script que está incrustando, podría haber algún riesgo, pero probablemente esté bien.
Las fallas de XSS generalmente aparecen en escenarios donde su página obtiene contenido no confiable de un tercero. Pueden ser argumentos GET o POST, datos de una base de datos, encabezados HTTP, etc.
En este caso, suena como si estuvieras tirando de un fragmento de código javascript a tu página html. Aquí hay dos cosas que deberían preocuparte:
-
¿Confío en este javascript? Eche un vistazo al javascript y asegúrese de que no esté haciendo nada sospechoso.
-
¿Este javascript extrae algún código o datos externos? Intente comprender si el javascript se está comprando en otros archivos de javascript o está buscando datos externos desde el navegador o el usuario.
Si la respuesta a ambas preguntas es no, entonces es probable que estés listo.
Nota: si está activando el javascript con una etiqueta src, debe pensar en dónde desea alojar ese archivo. Si obtiene una fuente fuera de un servidor que no controla, ese archivo podría cambiar en el futuro y volverse malicioso o inestable.