Hola a todos, tengo una pregunta... en un portal, estoy creando dinamicamente la URL desde el inicio de sesión, dependiendo desde donde se le haya llamado a iniciar sesión, esto para no perder la procedencia del cliente. Mi duda es si alguien podría aprovechar esto para realizar XSS reflejado ... ???

Yo no lo veo vulnerable , porque aunque alguien puede meter codigo javascript y luego se genere una URL para redireccionarlo, esta no se va a accionar si no se tienen las credenciales adecuadas para iniciar sesión. Depronto se me escape algo... por eso recurri al foro Además!, el código en la URL no se va a ejecutar, solo tendría un error de página no encontrada bajo el dominio... que dicen?