Frontend y Navegador

Scripts maliciosos ejecutados al leer datos controlados por el atacante de la URL o APIs del navegador y escribirlos en el DOM usando sinks peligrosos como innerHTML o document.write.

Contenido provisto por el usuario guardado en la base de datos sin sanitizar y renderizado en el navegador como HTML, permitiendo inyección de scripts persistente que se ejecuta para cada usuario que ve el contenido.

Handlers de window.addEventListener('message') que procesan mensajes sin verificar event.origin, permitiendo que cualquier sitio web envíe comandos al handler de mensajes de tu app.

Ausencia de los headers X-Frame-Options y CSP frame-ancestors, combinada con sin lógica de frame-busting en el cliente, dejando la app completamente embebible en iframes maliciosos.

Contenido de terceros o generado por el usuario cargado en un iframe sin el atributo sandbox, permitiendo que ese contenido ejecute scripts, acceda a cookies del padre y navegue el frame de nivel superior.

Scripts y hojas de estilo alojados en CDN cargados sin el atributo integrity, lo que significa que un CDN comprometido puede servir versiones maliciosas de tus dependencias a todos tus usuarios.

JavaScript que redirige usuarios a URLs tomadas de parámetros de query o fragmentos URL sin validación, habilitando ataques de phishing usando tu dominio confiable como lanzadera.

Tokens, contraseñas o identificadores sensibles pasados como parámetros de query en URL, donde son visibles en el historial del navegador, logs del servidor, headers Referer y links compartidos.