Ho sentito / letto in vari contesti che l'XSS basato su DOM è causato da input lato client non attendibili e gli sviluppatori devono seguire le istruzioni su OWASP " Foglio trucchi XSS basato su DOM " per mitigarlo.
La mia domanda è: non dovrebbe essere usata questa guida indipendentemente da dove viene iniettato il carico utile malevolo (lato client che può essere da elementi DOM come URL, o lato server che può essere da parametri di richieste precedenti immediate) se sei inserire dati non affidabili in contesti di esecuzione javascript?
Lasciamo da parte il dibattito su se sarà chiamato XSS basato su DOM o meno nel caso successivo perché sono più interessato a sapere se questa guida dovrebbe essere applicata indipendentemente da dove il payload proviene (server / client) se stai mettendo dati non fidati in <script> contesti di esecuzione.