14 de septiembre de 2025Español

Análisis de los conceptos de sandboxing y contextos de ejecución de JavaScript, esenciales para el desarrollo web seguro y la seguridad del navegador.

Seguridad de la Plataforma Web: Entendiendo el Sandboxing de JavaScript y los Contextos de Ejecución

En el panorama en constante evolución del desarrollo web, la seguridad no es simplemente una ocurrencia tardía; es un pilar fundamental sobre el cual se construyen aplicaciones confiables y resilientes. En el corazón de la seguridad web se encuentra la intrincada interacción de cómo se ejecuta y se contiene el código JavaScript. Esta publicación profundiza en dos conceptos fundamentales: Sandboxing de JavaScript y Contextos de Ejecución. Comprender estos mecanismos es crucial para cualquier desarrollador que aspire a construir aplicaciones web seguras y para comprender el modelo de seguridad inherente de los navegadores web.

La web moderna es un entorno dinámico donde el código de diversas fuentes –su propia aplicación, bibliotecas de terceros e incluso entradas de usuario no confiables– converge dentro del navegador. Sin mecanismos robustos para controlar y aislar este código, el potencial de actividades maliciosas, violaciones de datos y compromiso del sistema sería inmenso. El sandboxing de JavaScript y el concepto de contextos de ejecución son las defensas primarias que previenen tales escenarios.

La Base: JavaScript y su Entorno de Ejecución

Antes de sumergirnos en el sandboxing y los contextos, es esencial comprender el modelo de ejecución básico de JavaScript en un navegador web. JavaScript, al ser un lenguaje de scripting del lado del cliente, se ejecuta dentro del navegador del usuario. Este entorno, a menudo denominado el sandbox del navegador, está diseñado para limitar las acciones que un script puede realizar, protegiendo así el sistema y los datos del usuario.

Cuando se carga una página web, el motor de JavaScript del navegador (como V8 para Chrome, SpiderMonkey para Firefox o JavaScriptCore para Safari) analiza y ejecuta el código JavaScript incrustado en ella. Esta ejecución no ocurre en el vacío; se produce dentro de un contexto de ejecución específico.

¿Qué es un Contexto de Ejecución?

Un contexto de ejecución es un concepto abstracto que representa el entorno en el que se evalúa y ejecuta el código JavaScript. Es el marco que contiene información sobre el ámbito actual, las variables, los objetos y el valor de la palabra clave `this`. Cuando el motor de JavaScript encuentra un script, crea un contexto de ejecución para él.

Tipos de Contextos de Ejecución:

Contexto de Ejecución Global (GEC): Este es el contexto predeterminado que se crea cuando se inicia el motor de JavaScript. En un entorno de navegador, el objeto global es el objeto window. Todo el código que no está dentro de una función o ámbito de bloque se ejecuta dentro del GEC.
Contexto de Ejecución de Función (FEC): Se crea un nuevo FEC cada vez que se llama a una función. Cada llamada a una función obtiene su propio contexto de ejecución único, que incluye sus propias variables, argumentos y su propia cadena de ámbito. Este contexto se destruye una vez que la función finaliza su ejecución y devuelve un valor.
Contexto de Ejecución de Eval: El código ejecutado dentro de una función eval() crea su propio contexto de ejecución. Sin embargo, generalmente se desaconseja el uso de eval() debido a los riesgos de seguridad y las implicaciones de rendimiento.

La Pila de Ejecución:

JavaScript utiliza una pila de llamadas para gestionar los contextos de ejecución. La pila es una estructura de datos de Último en Entrar, Primero en Salir (LIFO). Cuando el motor se inicia, inserta el GEC en la pila. Cuando se llama a una función, su FEC se inserta en la parte superior de la pila. Cuando una función retorna, su FEC se saca de la pila. Este mecanismo asegura que el código que se está ejecutando actualmente esté siempre en la parte superior de la pila.

Ejemplo:

            // El Contexto de Ejecución Global (GEC) se crea primero
let globalVariable = 'Soy global';

function outerFunction() {
  // El FEC de outerFunction se inserta en la pila
  let outerVariable = 'Estoy en outer';

  function innerFunction() {
    // El FEC de innerFunction se inserta en la pila
    let innerVariable = 'Estoy en inner';
    console.log(globalVariable + ', ' + outerVariable + ', ' + innerVariable);
  }

  innerFunction(); // El FEC de innerFunction se crea y se inserta
  // El FEC de innerFunction se saca de la pila cuando retorna
}

outerFunction(); // El FEC de outerFunction se inserta en la pila
// El FEC de outerFunction se saca de la pila cuando retorna
// El GEC permanece hasta que el script finaliza

En este ejemplo, cuando se llama a outerFunction, su contexto se coloca encima del contexto global. Cuando se llama a innerFunction dentro de outerFunction, su contexto se coloca encima del contexto de outerFunction. La ejecución procede desde la parte superior de la pila.

La Necesidad del Sandboxing

Mientras que los contextos de ejecución definen cómo se ejecuta el código JavaScript, el sandboxing es el mecanismo que restringe lo que ese código puede hacer. Un sandbox es un mecanismo de seguridad que aísla el código en ejecución, proporcionando un entorno seguro y controlado. En el contexto de los navegadores web, el sandbox evita que JavaScript acceda o interfiera con:

El sistema operativo del usuario.
Archivos sensibles del sistema.
Otras pestañas o ventanas del navegador que pertenecen a diferentes orígenes (un principio central de la Política del Mismo Origen).
Otros procesos que se ejecutan en la máquina del usuario.

Imagine un escenario en el que un sitio web malicioso inyecta JavaScript que intenta leer sus archivos locales o enviar su información personal a un atacante. Sin un sandbox, esto sería una amenaza significativa. El sandbox del navegador actúa como una barrera protectora, asegurando que los scripts solo puedan interactuar con la página web específica con la que están asociados y dentro de límites predefinidos.

Componentes Clave del Sandbox del Navegador:

El sandbox del navegador no es una entidad única, sino un sistema complejo de controles. Los elementos clave incluyen:

La Política del Mismo Origen (SOP): Este es quizás el mecanismo de seguridad más fundamental. Impide que los scripts de un origen (definido por protocolo, dominio y puerto) accedan o manipulen datos de otro origen. Por ejemplo, un script en http://example.com no puede leer directamente el contenido de http://another-site.com, incluso si está en la misma máquina. Esto limita significativamente el impacto de los ataques de cross-site scripting (XSS).
Separación de Privilegios: Los navegadores modernos emplean la separación de privilegios. Diferentes procesos del navegador se ejecutan con diferentes niveles de privilegio. Por ejemplo, el proceso de renderizado (que maneja la ejecución de HTML, CSS y JavaScript para una página web) tiene significativamente menos privilegios que el proceso principal del navegador. Si un proceso de renderizado se ve comprometido, el daño se contiene dentro de ese proceso.
Política de Seguridad de Contenido (CSP): CSP es un estándar de seguridad que permite a los administradores de sitios web controlar qué recursos (scripts, hojas de estilo, imágenes, etc.) pueden ser cargados o ejecutados por el navegador. Al especificar fuentes de confianza, CSP ayuda a mitigar los ataques XSS al evitar la ejecución de scripts maliciosos inyectados desde ubicaciones no confiables.
Política del Mismo Origen para el DOM: Aunque la SOP se aplica principalmente a las solicitudes de red, también rige el acceso al DOM. Los scripts solo pueden interactuar con los elementos del DOM de su propio origen.

Cómo Funcionan Juntos el Sandboxing y los Contextos de Ejecución

Los contextos de ejecución proporcionan el marco para la ejecución del código, definiendo su ámbito y el enlace de `this`. El sandboxing proporciona los límites de seguridad dentro de los cuales operan estos contextos de ejecución. El contexto de ejecución de un script dicta a qué puede acceder dentro de su ámbito permitido, mientras que el sandbox dicta si y cuánto puede acceder al sistema más amplio y a otros orígenes.

Considere una página web típica que ejecuta JavaScript. El código JavaScript se ejecuta dentro de su(s) respectivo(s) contexto(s) de ejecución. Sin embargo, este contexto está intrínsecamente vinculado al sandbox del navegador. Cualquier intento por parte del código JavaScript de realizar una acción, como hacer una solicitud de red, acceder al almacenamiento local o manipular el DOM, se verifica primero contra las reglas del sandbox. Si la acción está permitida (por ejemplo, acceder al almacenamiento local del mismo origen, hacer una solicitud a su propio origen), procede. Si la acción está restringida (por ejemplo, intentar leer un archivo del disco duro del usuario, acceder a las cookies de otra pestaña), el navegador la bloqueará.

Técnicas Avanzadas de Sandboxing

Más allá del sandbox inherente del navegador, los desarrolladores emplean técnicas específicas para aislar aún más el código y mejorar la seguridad:

1. Iframes con el Atributo `sandbox`:

El elemento HTML <iframe> es una herramienta poderosa para incrustar contenido de otras fuentes. Cuando se usa con el atributo sandbox, crea un entorno altamente restrictivo para el documento incrustado. El atributo sandbox puede tomar valores que relajan o restringen aún más los permisos:

`sandbox` (sin valor): Deshabilita casi todos los privilegios, incluida la ejecución de scripts, el envío de formularios, las ventanas emergentes y los enlaces externos.
`allow-scripts`: Permite la ejecución de scripts.
`allow-same-origin`: Permite que el documento sea tratado como si fuera de su origen original. ¡Úselo con extrema precaución!
`allow-forms`: Permite el envío de formularios.
`allow-popups`: Permite ventanas emergentes y navegación de nivel superior.
`allow-top-navigation`: Permite la navegación de nivel superior.
`allow-downloads`: Permite que las descargas se realicen sin interacción del usuario.

Ejemplo:

            <iframe src="untrusted-content.html" sandbox="allow-scripts allow-same-origin"></iframe>

Este iframe ejecutará scripts y podrá acceder a su propio origen (si lo tiene). Sin embargo, sin atributos `allow-*` adicionales, no puede, por ejemplo, abrir nuevas ventanas o enviar formularios. Esto es invaluable para mostrar contenido generado por el usuario o widgets de terceros de forma segura.

2. Web Workers:

Los Web Workers son scripts de JavaScript que se ejecutan en segundo plano, separados del hilo principal del navegador. Esta separación es una forma de sandboxing: los Web Workers no tienen acceso directo al DOM y solo pueden comunicarse con el hilo principal a través del paso de mensajes. Esto les impide manipular directamente la interfaz de usuario, que es un vector de ataque común para XSS.

Beneficios:

Rendimiento: Descarga cálculos pesados al hilo del worker sin congelar la interfaz de usuario.
Seguridad: Aísla tareas de fondo potencialmente riesgosas o complejas.

Ejemplo (Hilo Principal):

            // Crear un nuevo worker
const myWorker = new Worker('worker.js');

// Enviar un mensaje al worker
myWorker.postMessage('Iniciar cálculo');

// Escuchar mensajes del worker
myWorker.onmessage = function(e) {
  console.log('Mensaje del worker:', e.data);
};

Ejemplo (worker.js):

            // Escuchar mensajes del hilo principal
self.onmessage = function(e) {
  console.log('Mensaje del hilo principal:', e.data);
  // Realizar un cálculo pesado
  const result = performComplexCalculation();
  // Enviar el resultado de vuelta al hilo principal
  self.postMessage(result);
};

function performComplexCalculation() {
  // ... imagine lógica compleja aquí ...
  return 'Cálculo completo';
}

La palabra clave `self` en el script del worker se refiere al ámbito global del worker, no al objeto `window` del hilo principal. Este aislamiento es clave para su modelo de seguridad.

3. Service Workers:

Los Service Workers son un tipo de Web Worker que actúa como un servidor proxy entre el navegador y la red. Pueden interceptar solicitudes de red, gestionar el almacenamiento en caché y habilitar funcionalidades sin conexión. Crucialmente, los Service Workers se ejecutan en un hilo separado y no tienen acceso al DOM, lo que los convierte en una forma segura de manejar operaciones a nivel de red y tareas en segundo plano.

Su poder reside en su capacidad para controlar las solicitudes de red, lo que puede aprovecharse para la seguridad al controlar la carga de recursos y prevenir solicitudes maliciosas. Sin embargo, su capacidad para interceptar y modificar las solicitudes de red también significa que deben registrarse y gestionarse con cuidado para evitar introducir nuevas vulnerabilidades.

4. Shadow DOM y Web Components:

Aunque no es un sandboxing directo en el mismo sentido que los iframes o los workers, los Web Components, particularmente con Shadow DOM, ofrecen una forma de encapsulación. Shadow DOM crea un árbol DOM oculto y con ámbito propio adjunto a un elemento. Los estilos y scripts dentro del Shadow DOM están aislados del documento principal, evitando colisiones de estilo y manipulación incontrolada del DOM por parte de scripts externos.

Esta encapsulación es vital para construir componentes de interfaz de usuario reutilizables que se pueden integrar en cualquier aplicación sin temor a interferencias o a ser interferidos. Crea un entorno contenido para la lógica y la presentación del componente.

Contextos de Ejecución e Implicaciones de Seguridad

Comprender los contextos de ejecución también es primordial para la seguridad, particularmente al tratar con el ámbito de las variables, los cierres (closures) y la palabra clave `this`. Una mala gestión puede llevar a efectos secundarios no deseados o vulnerabilidades.

Cierres y Fugas de Variables:

Los cierres (closures) son una característica poderosa donde una función interna tiene acceso al ámbito de la función externa, incluso después de que la función externa haya finalizado. Si bien son increíblemente útiles para la privacidad de los datos y la modularidad, si no se gestionan con cuidado, pueden exponer inadvertidamente variables sensibles o crear fugas de memoria.

Ejemplo de problema potencial:

            function createSecureCounter() {
  let count = 0;
  // Esta función interna forma un cierre sobre 'count'
  return function() {
    count++;
    console.log(count);
    return count;
  };
}

const counter = createSecureCounter();
counter(); // 1
counter(); // 2

// Problema: Si 'count' se expusiera accidentalmente o si el cierre
// mismo tuviera un defecto, los datos sensibles podrían verse comprometidos.
// En este ejemplo específico, 'count' está bien encapsulado.
// Sin embargo, imagine un escenario donde un atacante pudiera manipular
// el acceso del cierre a otras variables sensibles.

La Palabra Clave `this`:

El comportamiento de la palabra clave `this` puede ser confuso y, si no se maneja adecuadamente, puede llevar a problemas de seguridad, especialmente en manejadores de eventos o código asíncrono.

En el ámbito global en modo no estricto, `this` se refiere a `window`.
En el ámbito global en modo estricto, `this` es `undefined`.
Dentro de las funciones, `this` depende de cómo se llame a la función.

Vincular incorrectamente `this` puede llevar a que un script acceda o modifique variables u objetos globales no deseados, lo que podría conducir a cross-site scripting (XSS) u otros ataques de inyección.

Ejemplo:

            // Sin 'use strict';
function displayUserInfo() {
  console.log(this.userName);
}

// Si se llama sin contexto, en modo no estricto, 'this' podría
// apuntar por defecto a window y exponer potencialmente variables globales
// o causar un comportamiento inesperado.

// Usar .bind() o funciones de flecha ayuda a mantener un contexto 'this' predecible:
const user = { userName: 'Alice' };

const boundDisplay = displayUserInfo.bind(user);
boundDisplay(); // 'Alice'

// Las funciones de flecha heredan 'this' del ámbito circundante:
const anotherUser = { userName: 'Bob' };
const arrowDisplay = () => {
  console.log(this.userName); // 'this' será del ámbito externo donde se define arrowDisplay.
};

// Si arrowDisplay se define en el ámbito global (no estricto), 'this' sería 'window'.
// Si se define dentro del método de un objeto, 'this' se referiría a ese objeto.

Contaminación del Objeto Global:

Un riesgo de seguridad significativo es la contaminación del objeto global, donde los scripts crean o sobrescriben inadvertidamente variables globales. Esto puede ser explotado por scripts maliciosos para manipular la lógica de la aplicación o inyectar código dañino. Una encapsulación adecuada y evitar el uso excesivo de variables globales son defensas clave.

Las prácticas modernas de JavaScript, como el uso de `let` y `const` para variables con ámbito de bloque y los módulos (ES Modules), reducen significativamente la superficie de ataque para la contaminación global en comparación con la antigua palabra clave `var` y la concatenación tradicional de scripts.

Mejores Prácticas para un Desarrollo Seguro

Para aprovechar los beneficios de seguridad del sandboxing y de los contextos de ejecución bien gestionados, los desarrolladores deben adoptar las siguientes prácticas:

1. Adopte la Política del Mismo Origen:

Siempre respete la SOP. Diseñe sus aplicaciones de modo que los datos y la funcionalidad estén correctamente aislados según el origen. Solo comuníquese entre orígenes cuando sea absolutamente necesario y utilice métodos seguros como `postMessage` para la comunicación entre ventanas.

2. Utilice el Sandboxing de `iframe` para Contenido no Confiable:

Al incrustar contenido de terceros o contenido generado por el usuario en el que no puede confiar plenamente, utilice siempre el atributo `sandbox` en los elementos ``. Configure los atributos de `sandbox` con precisión para permitir solo los permisos necesarios.</p> <h3>3. Aproveche los Web Workers y Service Workers:</h3> <p>Para tareas computacionalmente intensivas u operaciones en segundo plano, utilice Web Workers. Para tareas a nivel de red y capacidades sin conexión, emplee Service Workers. Estas tecnologías proporcionan un aislamiento natural que mejora la seguridad.</p> <h3>4. Implemente la Política de Seguridad de Contenido (CSP):</h3> <p>Defina una CSP sólida para su aplicación web. Esta es una de las formas más efectivas de prevenir ataques XSS al controlar qué scripts pueden ejecutarse, desde dónde pueden cargarse y qué otros recursos puede obtener el navegador.</p> <p><strong>Ejemplo de Encabezado CSP:</strong></p> <div class="code-block-wrapper"> <pre data-language="code"> <code>Content-Security-Policy: default-src 'self'; script-src 'self' https://cdnjs.cloudflare.com; </code> <div class="copy-button-container"> <button data-code="Q29udGVudC1TZWN1cml0eS1Qb2xpY3k6IGRlZmF1bHQtc3JjICdzZWxmJzsgc2NyaXB0LXNyYyAnc2VsZicgaHR0cHM6Ly9jZG5qcy5jbG91ZGZsYXJlLmNvbTsK" class="copy-button" title="Copy code" > Copy </button> </div> </pre> </div> <p>Esta política permite que los recursos se carguen solo desde el mismo origen (`'self'`) y permite que los scripts se carguen desde el mismo origen y desde `https://cdnjs.cloudflare.com`. Cualquier script que intente cargarse desde otro lugar sería bloqueado.</p> <h3>5. Use Módulos y Ámbito Moderno:</h3> <p>Adopte ES Modules para estructurar su JavaScript. Esto proporciona una gestión clara de las dependencias y un verdadero ámbito a nivel de módulo, reduciendo significativamente el riesgo de contaminación del ámbito global.</p> <h3>6. Sea Consciente de `this` y los Cierres:</h3> <p>Use funciones de flecha o `.bind()` para controlar explícitamente el contexto de `this`. Gestione cuidadosamente los cierres para asegurarse de que los datos sensibles no se expongan inadvertidamente. Revise regularmente el código en busca de posibles vulnerabilidades relacionadas con el ámbito.</p> <h3>7. Sanitice las Entradas del Usuario:</h3> <p>Este es un principio de seguridad general pero crítico. Siempre sanitice y valide cualquier dato proveniente de los usuarios antes de que se muestre, almacene o utilice de cualquier manera. Esta es la defensa principal contra los ataques XSS donde se inyecta JavaScript malicioso en la página.</p> <h3>8. Evite `eval()` y `new Function()` Cuando sea Posible:</h3> <p>Estos métodos ejecutan cadenas de texto como código JavaScript, creando nuevos contextos de ejecución. Sin embargo, a menudo son difíciles de asegurar y pueden conducir fácilmente a vulnerabilidades de inyección si la cadena de entrada no se sanitiza meticulosamente. Prefiera alternativas más seguras como el análisis de datos estructurados o el código precompilado.</p> <h2>Perspectiva Global sobre la Seguridad Web</h2> <p>Los principios del sandboxing de JavaScript y los contextos de ejecución son universales en todos los navegadores web y sistemas operativos modernos en todo el mundo. La Política del Mismo Origen, por ejemplo, es un estándar de seguridad fundamental del navegador que se aplica en todas partes. Al desarrollar aplicaciones para una audiencia global, es esencial recordar:</p> <ul> <li><strong>Consistencia:</strong> Aunque las implementaciones de los navegadores pueden tener variaciones menores, el modelo de seguridad central se mantiene consistente.</li> <li><strong>Regulaciones de Privacidad de Datos:</strong> Las medidas de seguridad como el sandboxing y la SOP son vitales para cumplir con las regulaciones globales de privacidad de datos como el GDPR (Reglamento General de Protección de Datos) en Europa, la CCPA (Ley de Privacidad del Consumidor de California) en los EE. UU. y otras. Al limitar las capacidades de los scripts, se protegen inherentemente los datos del usuario contra el acceso no autorizado.</li> <li><strong>Integraciones de Terceros:</strong> Muchas aplicaciones globales dependen de scripts de terceros (por ejemplo, análisis, publicidad, widgets de redes sociales). Comprender cómo se ejecutan estos scripts dentro del sandbox del navegador y cómo controlarlos a través de CSP es fundamental para mantener la seguridad en diversas bases de usuarios geográficos.</li> <li><strong>Idioma y Localización:</strong> Si bien los mecanismos de seguridad son agnósticos al idioma, los detalles de implementación pueden interactuar con bibliotecas de localización o funciones de manipulación de cadenas. Los desarrolladores deben asegurarse de que las prácticas de seguridad se mantengan independientemente del idioma o la región desde la que un usuario acceda a la aplicación. Por ejemplo, es crucial sanitizar las entradas que puedan contener caracteres de diferentes alfabetos.</li> </ul> <h2>Conclusión</h2> <p>El sandboxing de JavaScript y los contextos de ejecución no son solo conceptos teóricos; son las características de seguridad prácticas e integradas que hacen que la web moderna sea utilizable y relativamente segura. Los contextos de ejecución definen el 'cómo' y el 'dónde' del entorno operativo de JavaScript, mientras que el sandboxing define el 'qué': los límites de su poder. Al comprender profundamente estos mecanismos y adherirse a las mejores prácticas, los desarrolladores pueden mejorar significativamente la postura de seguridad de sus aplicaciones web, protegiendo tanto a los usuarios como a sus propios sistemas de una amplia gama de amenazas.</p> <p>A medida que las aplicaciones web se vuelven más complejas e interconectadas, una comprensión firme de estos principios de seguridad fundamentales es más importante que nunca. Ya sea que esté construyendo un sitio web simple o una plataforma global compleja, priorizar la seguridad desde el principio, al comprender e implementar correctamente la gestión del sandboxing y los contextos de ejecución, conducirá a aplicaciones más robustas, confiables y resilientes.</p></div><footer class="mt-12 pt-8 border-t border-gray-200"><h3 class="text-sm font-semibold text-gray-900 mb-3 dark:text-white/90">Tags:</h3><div class="flex flex-wrap gap-2"><span class="inline-block bg-gray-100 text-gray-800 px-3 py-1 rounded-full text-sm hover:bg-gray-200 transition-colors dark:bg-neutral-800 dark:text-white dark:hover:bg-neutral-700">seguridad de JavaScript</span><span class="inline-block bg-gray-100 text-gray-800 px-3 py-1 rounded-full text-sm hover:bg-gray-200 transition-colors dark:bg-neutral-800 dark:text-white dark:hover:bg-neutral-700">seguridad web</span><span class="inline-block bg-gray-100 text-gray-800 px-3 py-1 rounded-full text-sm hover:bg-gray-200 transition-colors dark:bg-neutral-800 dark:text-white dark:hover:bg-neutral-700">sandboxing</span><span class="inline-block bg-gray-100 text-gray-800 px-3 py-1 rounded-full text-sm hover:bg-gray-200 transition-colors dark:bg-neutral-800 dark:text-white dark:hover:bg-neutral-700">contexto de ejecución</span><span class="inline-block bg-gray-100 text-gray-800 px-3 py-1 rounded-full text-sm hover:bg-gray-200 transition-colors dark:bg-neutral-800 dark:text-white dark:hover:bg-neutral-700">seguridad del navegador</span><span class="inline-block bg-gray-100 text-gray-800 px-3 py-1 rounded-full text-sm hover:bg-gray-200 transition-colors dark:bg-neutral-800 dark:text-white dark:hover:bg-neutral-700">manipulación del DOM</span><span class="inline-block bg-gray-100 text-gray-800 px-3 py-1 rounded-full text-sm hover:bg-gray-200 transition-colors dark:bg-neutral-800 dark:text-white dark:hover:bg-neutral-700">cross-site scripting (XSS)</span><span class="inline-block bg-gray-100 text-gray-800 px-3 py-1 rounded-full text-sm hover:bg-gray-200 transition-colors dark:bg-neutral-800 dark:text-white dark:hover:bg-neutral-700">content security policy (CSP)</span><span class="inline-block bg-gray-100 text-gray-800 px-3 py-1 rounded-full text-sm hover:bg-gray-200 transition-colors dark:bg-neutral-800 dark:text-white dark:hover:bg-neutral-700">iframes</span><span class="inline-block bg-gray-100 text-gray-800 px-3 py-1 rounded-full text-sm hover:bg-gray-200 transition-colors dark:bg-neutral-800 dark:text-white dark:hover:bg-neutral-700">web workers</span><span class="inline-block bg-gray-100 text-gray-800 px-3 py-1 rounded-full text-sm hover:bg-gray-200 transition-colors dark:bg-neutral-800 dark:text-white dark:hover:bg-neutral-700">motor v8</span><span class="inline-block bg-gray-100 text-gray-800 px-3 py-1 rounded-full text-sm hover:bg-gray-200 transition-colors dark:bg-neutral-800 dark:text-white dark:hover:bg-neutral-700">motor de javascript</span><span class="inline-block bg-gray-100 text-gray-800 px-3 py-1 rounded-full text-sm hover:bg-gray-200 transition-colors dark:bg-neutral-800 dark:text-white dark:hover:bg-neutral-700">codificación segura</span><span class="inline-block bg-gray-100 text-gray-800 px-3 py-1 rounded-full text-sm hover:bg-gray-200 transition-colors dark:bg-neutral-800 dark:text-white dark:hover:bg-neutral-700">desarrollo web</span><span class="inline-block bg-gray-100 text-gray-800 px-3 py-1 rounded-full text-sm hover:bg-gray-200 transition-colors dark:bg-neutral-800 dark:text-white dark:hover:bg-neutral-700">ciberseguridad</span><template id="P:4"></template></div></footer></article></div><script>$RS=function(a,b){a=document.getElementById(a);b=document.getElementById(b);for(a.parentNode.removeChild(a);a.firstChild;)b.parentNode.insertBefore(a.firstChild,b);b.parentNode.removeChild(b)};$RS("S:2","P:2")</script><div hidden id="S:4"><span class="inline-block bg-gray-100 text-gray-800 px-3 py-1 rounded-full text-sm hover:bg-gray-200 transition-colors dark:bg-neutral-800 dark:text-white dark:hover:bg-neutral-700">web global</span></div><script>$RS("S:4","P:4")</script><script>$RC("B:1","S:1")</script></body></html>