Cross-Site Scripting (XSS) es una vulnerabilidad donde un atacante inyecta JavaScript malicioso en una página web vista por otros usuarios — ejecutándose en sus navegadores para robar datos, secuestrar sesiones o realizar acciones en su nombre. Es una vulnerabilidad web común y peligrosa, prevenible con un manejo adecuado de la salida.
When user input is rendered into a page WITHOUT proper escaping, injected SCRIPTS run:
Welcome, <%= userInput %>
El script inyectado se ejecuta en los navegadores de las víctimas como si fuera del sitio de confianza — permitiendo a los atacantes robar cookies/tokens de sesión, secuestrar cuentas, capturar pulsaciones de teclado o realizar acciones como el usuario.
STORED → malicious script SAVED on the server (e.g. in a comment) → served to all viewers
REFLECTED → script in a request (e.g. a URL parameter) reflected back in the response
DOM-based → client-side JS unsafely puts untrusted data into the DOM
✓ ESCAPE/ENCODE output → render user data as TEXT, not HTML (the key defense):
→ frameworks (React, Angular, Vue) auto-escape by default → use them properly
→ escape based on context (HTML, attribute, JS, URL)
✓ AVOID dangerous APIs → innerHTML, dangerouslySetInnerHTML, eval with untrusted data
✓ SANITIZE HTML if you must allow it (e.g. DOMPurify for rich text)
✓ Content Security Policy (CSP) → restricts what scripts can run (defense in depth)
✓ HttpOnly cookies → JS can't read them (limits cookie theft via XSS)
Entender XSS y cómo prevenirlo es esencial porque es una vulnerabilidad web común y peligrosa que permite a los atacantes ejecutar scripts maliciosos en los navegadores de los usuarios, por lo que es conocimiento de seguridad imprescindible para desarrolladores web.
Entender cómo funciona — que renderizar entrada del usuario en una página sin escapar adecuadamente permite que JavaScript inyectado se ejecute en los navegadores de otros usuarios en el contexto del sitio de confianza, lo que permite a los atacantes robar cookies de sesión y tokens, secuestrar cuentas y actuar como el usuario — es necesario para reconocer y prevenir la vulnerabilidad.
XSS es peligroso porque compromete las sesiones y datos de los usuarios, y es común en aplicaciones web que muestran contenido generado por usuarios.
Entender los tipos (XSS almacenado — scripts maliciosos guardados en el servidor y servidos a todos los espectadores, el más peligroso; XSS reflejado — scripts reflejados desde una solicitud; XSS basado en DOM — manipulación insegura de DOM del lado del cliente) ayuda a reconocer los diferentes vectores de ataque.
Entender la prevención es esencial: escapar/codificar la salida (renderizar datos del usuario como texto, no HTML — la defensa clave, que frameworks modernos como React hacen automáticamente por defecto cuando se usan correctamente), evitar APIs peligrosas (innerHTML, dangerouslySetInnerHTML, eval con datos no confiables — fuentes comunes de XSS), desinfectar HTML cuando se debe permitir contenido enriquecido (p. ej. DOMPurify), Content Security Policy (restringiendo la ejecución de scripts como defensa en profundidad), y cookies HttpOnly (previniendo que JavaScript las lea).
Entender que los frameworks auto-escapan (por lo que usarlos correctamente previene la mayoría de XSS, mientras que omitir su escapado la reintroduce) es prácticamente importante.
Puesto que XSS es una vulnerabilidad común y peligrosa que compromete las sesiones y datos de los usuarios, especialmente en aplicaciones que muestran contenido del usuario, y puesto que entender cómo funciona y cómo prevenirlo (escapado de salida, evitar APIs peligrosas, CSP, valores por defecto del framework) es esencial para desarrolladores web, entender XSS y su prevención es conocimiento de seguridad esencial e imprescindible — una vulnerabilidad web fundamental contra la cual defenderse, donde el manejo adecuado de la salida (escapado, usar valores por defecto del framework, evitar APIs peligrosas) es conocimiento crítico para proteger a los usuarios de una clase generalizada de ataques.