Supponi che il contenuto della variabile name di seguito sia controllato da un utente malintenzionato. Questa linea di codice è vulnerabile a XSS?
console.log(name)
Quando invio un'iniezione in name variabile vedo il suo valore stampato da console.log come una stringa con codifica URL, e non viene interpretato come un formato di tag script. C'è un modo per sfruttare questo attacco XSS?
Nessun codice esatto che hai pubblicato non è vulnerabile a XSS.
Ora se stai scrivendo first_name sulla pagina dovunque potrebbe essere un riflesso Vulnerabilità XSS o forse una vulnerabilità XSS basata su DOM . Ma il minuscolo codice pezzo che hai pubblicato non è una vulnerabilità
È inutile cercare di trovare una vulnerabilità XSS all'interno del puro codice JavaScript.
Le vulnerabilità XSS sono utili quando il sito ti offre l'opportunità di interagire con gli input / URL PHP / MySQL. Non possiamo parlare di XSS nel tuo caso.
Leggi altre domande sui tag javascript web-application appsec xss