Resumen: El script malicioso no pasa por el servidor. Se ejecuta porque el JavaScript del cliente manipula datos del DOM (por ejemplo, fragmentos de la URL) sin validarlos correctamente.
Ejemplo: Un enlace manipulado:
https://sitio.com/#<img src=x onerror=alert('DOM XSS')>
Si el JavaScript en la página toma location.hash y lo inserta en el HTML sin sanearlo, se ejecuta el script.
location.hash
Last updated 8 months ago