Glosario · Seguridad

XSS (Cross-Site Scripting): qué es y cómo prevenirlo

Vulnerabilidad que permite a un atacante inyectar JavaScript malicioso en una web, ejecutándose en el navegador de otros usuarios.

Ejemplo de XSS clásico: un formulario de comentarios que guarda texto plano sin sanitizar. Un atacante pone <script>alert('hack')</script> como comentario. Cuando otro usuario visita la página, el script se ejecuta en su navegador.

Con XSS real (no alert), el atacante puede:

  • Robar cookies de sesión
  • Redirigir a phishing
  • Modificar el DOM para mostrar contenido falso
  • Hacer peticiones en nombre del usuario

Prevención:

  • Escapar todo input de usuario al renderizar (htmlspecialchars en PHP, template engines con auto-escape)
  • Validar en servidor, nunca confiar en validación cliente
  • CSP como red de seguridad — bloquea scripts de orígenes no permitidos
  • HttpOnly cookies — hace que las cookies de sesión no sean accesibles desde JavaScript

Por qué importa

XSS sigue siendo top-10 de OWASP en 2024. Cualquier formulario que reciba texto y lo muestre después es potencial vector. La prevención es sistemática: escape por defecto en TODO rendering, y CSP como backup.

Siguiente paso

¿Tienes un proyecto exigente entre manos?

Cuéntanos qué necesita tu empresa. En la primera llamada evaluamos viabilidad técnica, alcance y presupuesto cerrado. Sin compromiso.

Iniciar proyecto +34 659 998 350
Antes de irte

¿10 segundos para analizar tu web gratis?

Pon la URL de tu web y te damos el diagnóstico al momento: SEO, rich snippets, accesibilidad, seguridad y rendimiento. Sin registro ni email. Si después quieres informe humano, lo pides desde ahí.

Analizar mi web gratis