Questo codice è vulnerabile agli XSS basati su DOM?
L'applicazione utilizza jQuery 3.3.1 e ho notato che i dati sono letti da
window.location.hash e passati a $() tramite le seguenti dichiarazioni:
var hash = window.location.hash.substring(1);
var elem = $('#reports_nav_links .' + hash);
Il link che ho è qualcosa come /graph#injection-point
Ogni parametro che inserisco dopo il simbolo cancelletto dà il seguente errore nella console del browser:
Error: Syntax error, unrecognized expression: #reports_nav_links .injection-point
Quale payload potrei usare per attivare una casella di avviso o eseguire qualsiasi codice JS? Questo codice è vulnerabile o sicuro al 100%?