Sto studiando l'attacco XSS basato su DOM. Capisco che brevemente è un attacco in cui il carico utile dell'attacco viene eseguito come risultato della modifica del DOM "ambiente" nel browser della vittima. Ma non capisco perché in molti tutorial questo attacco è correlato all'uso di "#" di caratteri speciali (hash) per non inviare la stringa maliziosa al server. posso usare "#" (hash) solo in questa versione o anche in NOT NOT riflesso?