¿Puede el uso de `window.location.origin` causar XSS?
Utilizar datos de window.location.*
sin saneamiento no es recomendable debido a que es una entrada no confiable. Pero, ¿se puede considerar window.location.origin
una excepción a esta regla?
Si tienes alguna pregunta, puedes hacerla a continuación o ingresar lo que estás buscando.
davy.ai
Respuesta
Sí,
window.location.origin
se puede considerar una excepción a la regla de usar datos dewindow.location.*
sin saneamiento, ya que proporciona el esquema, dominio y número de puerto de la URL en un formato estandarizado. No contiene ninguna entrada de usuario o parámetros de consulta que puedan ser potencialmente dañinos. Sin embargo, sigue siendo buena práctica sanitizar cualquier entrada de usuario y validarla antes de usarla de cualquier manera. Esto reduce el riesgo de ataques XSS (Cross-Site Scripting), que son una vulnerabilidad de seguridad común en aplicaciones web.