Diseñar un playground XSS seguro sin autoengañarse
Un playground XSS debe aislar la ejecución, explicar sus límites y evitar dar una falsa sensación de seguridad.
Un playground XSS es útil para entender cómo se parsea un payload. También puede ser peligroso si la interfaz sugiere que ejecutar código en una pestaña del navegador es automáticamente seguro.
El aislamiento debe ser explícito.
Sandbox primero
Usa un iframe con sandbox, evita permisos innecesarios y separa la vista previa del resto de la aplicación. El objetivo es observar comportamiento, no mezclar payloads con la UI principal.
Explica los límites
Un playground no reproduce todos los navegadores, cabeceras, CSP, sanitizers ni frameworks del objetivo real. Si el payload funciona allí, no demuestra que funcione en producción. Si falla allí, tampoco descarta el bug.
Haz visible la transformación
Muestra entrada, mutaciones y salida renderizada. El tester debe poder entender qué se ejecutó y por qué. La seguridad del laboratorio viene de límites claros, no de promesas vagas.