CSP: Content Security Policy

Una cabecera HTTP que restringe de dónde puede cargar scripts, estilos, imágenes y otros recursos el navegador, mitigando ataques XSS.

CSRF: Cross-Site Request Forgery

Ataque que fuerza al navegador de un usuario autenticado a ejecutar acciones no deseadas en una web donde tiene sesión activa.

HSTS: HTTP Strict Transport Security

Una cabecera HTTP que fuerza al navegador a usar siempre HTTPS para tu dominio, incluso si el usuario escribe "http://".

Glosario · Seguridad

XSS (Cross-Site Scripting): qué es y cómo prevenirlo

Vulnerabilidad que permite a un atacante inyectar JavaScript malicioso en una web, ejecutándose en el navegador de otros usuarios.

Ejemplo de XSS clásico: un formulario de comentarios que guarda texto plano sin sanitizar. Un atacante pone <script>alert('hack')</script> como comentario. Cuando otro usuario visita la página, el script se ejecuta en su navegador.

Con XSS real (no alert), el atacante puede:

Robar cookies de sesión
Redirigir a phishing
Modificar el DOM para mostrar contenido falso
Hacer peticiones en nombre del usuario

Prevención:

Escapar todo input de usuario al renderizar (htmlspecialchars en PHP, template engines con auto-escape)
Validar en servidor, nunca confiar en validación cliente
CSP como red de seguridad — bloquea scripts de orígenes no permitidos
HttpOnly cookies — hace que las cookies de sesión no sean accesibles desde JavaScript

Por qué importa

XSS sigue siendo top-10 de OWASP en 2024. Cualquier formulario que reciba texto y lo muestre después es potencial vector. La prevención es sistemática: escape por defecto en TODO rendering, y CSP como backup.

XSS (Cross-Site Scripting): qué es y cómo prevenirlo

Por qué importa

¿Esto aplica a tu web?

¿Tienes un proyecto exigente entre manos?

Un email cada dos semanas con lo que aprendemos.