Tengo un código javascript con funciones como window.location y demás que son teóricamente vulnerables a XSS. Si los parámetros de estas funciones son leídos de una base de datos "fiable", es decir, no provienen del user input puedo ser vulnerable a XSS?
Por ejemplo, si cargo la página y luego pongo en la barra de navegación: javascript:funcion(parametro_malo) puedo robar cookies y lo que quiera, pero sería muy dificil engañar a un usuario para que primero abriera la url y luego ejecutara este javascript no?
gracias
eso no es cross site scripting, eso es ser..."poco inteligente" jaja
no creo k nadie acepte cargar una web, y encima poner un codigo en la barra hombre jaja
si los datos no vienen de un input entonces no debería haber problema!