Nunca habrá una sola lista de verificación perfecta, pero aquí hay algunas cosas que vale la pena revisar:
-
Wikipedia no hace nada mal en este caso
-
Más para AJAX u otras interfaces enriquecidas, pero vale la pena leerlo según su arquitectura: OWASP
-
Esto parece valer una prueba de manejo, no lo he probado yo mismo - Caja de arena de Javascript
Sí, ninguno de estos es una verdadera "lista de verificación": OMI, lo que debe buscar en las vulnerabilidades de Javascript tiene mucho que ver con cómo lo está utilizando y con el resto de su arquitectura, así que estoy No estoy seguro de que una lista de verificación realmente cubra las preocupaciones reales. Puede ser mejor pasar primero por un análisis de riesgo y luego ver cómo se traduce en cómo se usan las diversas tecnologías web como un colectivo.