Escuché / leí en varios contextos que el XSS basado en DOM está causado por información del cliente no confiable y los desarrolladores deben seguir las instrucciones en el OWASP " Hoja de referencia de prevención XSS basada en DOM " para mitigarla.
Mi pregunta es: ¿no debería usarse esta guía independientemente de dónde se inyecte la carga útil maliciosa (del lado del cliente que puede ser de elementos DOM como URL, o del lado del servidor que puede ser de parámetros de solicitudes previas inmediatas) si está ¿Insertando datos no confiables en contextos de ejecución javascript?
Dejemos de lado el debate de si se llamará XSS basado en DOM o no en el último caso porque estoy más interesado en saber si esta guía debe aplicarse independientemente del lugar del que provenga la carga (servidor / cliente) si está poniendo datos no confiables en contextos de ejecución <script> .