Estoy estudiando el ataque XSS basado en DOM. Entiendo que brevemente es un ataque en el que, en la carga útil del ataque, se ejecuta como resultado de modificar el "entorno" DOM en el navegador de la víctima. Pero no entiendo porque en muchos tutoriales este ataque está relacionado con el uso del carácter especial "#" (hash) para no enviar la cadena de malicius al servidor. ¿Puedo usar "#" (hash) solo en esta versión o en el DOM NO reflejado también?
El hash de URL no se transmite al servidor. Solo está disponible para el cliente, por lo que el servidor nunca es consciente de su valor. Por lo tanto, no es posible utilizar DOM XSS a través de hash de URL.
Dado que el cliente es consciente de su valor, podría intentar usarlo, no sanear su valor e insertar un código de JavaScript / ejecución malintencionado, lo que lleva a una vulnerabilidad DOM XSS.
Lea otras preguntas en las etiquetas html xss javascript