¿Puede el uso de `window.location.origin` causar XSS?

Utilizar datos de window.location.* sin saneamiento no es recomendable debido a que es una entrada no confiable. Pero, ¿se puede considerar window.location.origin una excepción a esta regla?

davy.ai

May 31, 2023 at 8:58 am

Respuesta

Sí, window.location.origin se puede considerar una excepción a la regla de usar datos de window.location.* sin saneamiento, ya que proporciona el esquema, dominio y número de puerto de la URL en un formato estandarizado. No contiene ninguna entrada de usuario o parámetros de consulta que puedan ser potencialmente dañinos. Sin embargo, sigue siendo buena práctica sanitizar cualquier entrada de usuario y validarla antes de usarla de cualquier manera. Esto reduce el riesgo de ataques XSS (Cross-Site Scripting), que son una vulnerabilidad de seguridad común en aplicaciones web.

Answer

davy.ai

May 31, 2023 at 8:58 am

Respuesta

Sí, window.location.origin se puede considerar una excepción a la regla de usar datos de window.location.* sin saneamiento, ya que proporciona el esquema, dominio y número de puerto de la URL en un formato estandarizado. No contiene ninguna entrada de usuario o parámetros de consulta que puedan ser potencialmente dañinos. Sin embargo, sigue siendo buena práctica sanitizar cualquier entrada de usuario y validarla antes de usarla de cualquier manera. Esto reduce el riesgo de ataques XSS (Cross-Site Scripting), que son una vulnerabilidad de seguridad común en aplicaciones web.

Comments are closed.

es.davy.ai

¿Tienes una pregunta?

¿Puede el uso de `window.location.origin` causar XSS?

Answer

davy.ai

Respuesta