_Estaria de acuerdo contigo hasta que vi este reporte, en el que salta que aunque no se ejecute el js, una vulnerabilidad, que salta de una variable referer, es decir de un link que proviene desde un .js estoy en el ahora, pero aun no entiendo como saltaria asi una vulnerabilidad, el sotfware de scaneo que utilizaron es el HP WebInspect que cuesta alrededor de 25 mil dolares, y de nada valdría que yo les diga que lo que su fabuloso scanner salta como vulnerabilidad en realidad no lo es, e de encontrar la forma.
Gracias una vez mas David.