Supongamos que el contenido de la variable name a continuación está controlado por un atacante. ¿Es esta línea de código vulnerable a XSS?
console.log(name)
Cuando envío una inyección en la variable name , veo su valor impreso por console.log como una cadena codificada en la URL, y no se interpreta como un formato de etiqueta de script. ¿Hay alguna forma de explotar esto para el ataque XSS?
No, el código exacto que ha publicado no es vulnerable a XSS.
Ahora, si está escribiendo first_name en la página en cualquier lugar, podría ser reflejado Vulnerabilidad XSS o tal vez una Vulnerabilidad XSS basada en DOM . Pero el pequeño código de pieza que ha publicado no es una vulnerabilidad
Es inútil tratar de encontrar una vulnerabilidad XSS dentro del código de JavaScript puro.
Las vulnerabilidades de XSS son útiles cuando el sitio web le ofrece la oportunidad de interactuar con entradas / URL de PHP / MySQL. No podemos hablar de XSS en tu caso.
Lea otras preguntas en las etiquetas web-application appsec xss javascript