Tu JavaScript es un coladero: 20 XSS que nadie ve 🚨

La seguridad de tus aplicaciones JavaScript podría estar en riesgo por vulnerabilidades DOM XSS que van más allá del clásico `innerHTML`. Muchos ingenieros subestiman la sofisticación de estos ataques.

El problema es que nos hemos acostumbrado a buscar patrones obvios, pero el código moderno y las interacciones complejas abren puertas inesperadas.

La clave es adoptar una mentalidad de análisis de flujo de datos: `SOURCE → TRANSFORMATION → SINK`. Donde los datos nacen (source), cómo se manipulan (transformation) y dónde se usan (sink).

He visto casos donde la inyección no es directa, sino oculta: • Variables y objetos: El input malicioso se esconde dentro de propiedades de objetos o variables que luego son usadas sin sanitizar. • Operaciones con arrays: Uniones (`join`) o manipulaciones de arrays pueden introducir contenido no esperado que luego se renderiza. • URL y APIs de navegador: Atributos `href` con `javascript:` o manipulación de la History API pueden ser explotados fácilmente. • Cadenas de ejecución: Vulnerabilidades en `dataset` que terminan en un `eval()` pueden ser letales si no se traquea el flujo completo.

No basta con parches superficiales; necesitamos entender cómo interactúa el input malicioso con todo el ciclo de vida del DOM.

¿Qué estrategias o herramientas están usando para identificar y mitigar estos patrones avanzados de DOM XSS en sus proyectos?