XSS basado en DOM

馃敼 XSS basado en DOM

Resumen: El script malicioso no pasa por el servidor. Se ejecuta porque el JavaScript del cliente manipula datos del DOM (por ejemplo, fragmentos de la URL) sin validarlos correctamente.

Ejemplo: Un enlace manipulado:

https://sitio.com/#<img src=x onerror=alert('DOM XSS')>

Si el JavaScript en la p谩gina toma location.hash y lo inserta en el HTML sin sanearlo, se ejecuta el script.

PreviousXSS almacenadoNextMachines

Last updated