← Glossaire · ← Accueil

Injection de scripts (XSS)

Définition

Une attaque XSS (cross-site scripting) consiste à glisser du code malveillant dans une page web — par exemple via un formulaire mal protégé — pour qu'il s'exécute dans le navigateur des autres visiteurs et leur vole des informations.

Pourquoi ça compte

C'est l'une des attaques web les plus courantes. Elle peut détourner des sessions, voler des données ou afficher de faux contenus à vos visiteurs, en votre nom.

Comment je l'applique

Je nettoie systématiquement ce qui vient de l'extérieur (formulaires, paramètres) et je verrouille le navigateur avec une CSP. Le code injecté n'a alors aucune chance de s'exécuter.

Une question sur la sécurité de votre projet ? Parlons-en.