Accueil | Glossaire | XSS

XSS

Le XSS (Cross-Site Scripting) est une vulnérabilité de sécurité dans les applications web qui permet à un attaquant d’injecter du code malveillant, généralement du JavaScript, dans une page web affichée par un autre utilisateur. Cela peut compromettre la sécurité des utilisateurs en volant des cookies, en accédant à des informations sensibles, ou en exécutant des actions non autorisées au nom de l’utilisateur.

Il existe trois types principaux d’attaques XSS :

XSS réfléchi (Reflected XSS) : Le code malveillant est injecté via une requête HTTP, souvent par un lien cliqué par l’utilisateur. Le script est immédiatement reflété dans la réponse du serveur.
XSS stocké (Stored XSS) : Le script malveillant est stocké de manière permanente sur le serveur (comme dans une base de données). Lorsque l’utilisateur accède à la page, le script est exécuté sans qu’il s’en aperçoive.
XSS basé sur le DOM : Le script malveillant est injecté directement dans le Document Object Model (DOM) de la page web, souvent via une manipulation du contenu local.

Les conséquences des attaques XSS incluent :

Vol de cookies : Les attaquants peuvent voler les cookies d’authentification pour accéder à des comptes utilisateurs.
Phishing : Les utilisateurs peuvent être redirigés vers des pages de phishing.
Exécution de scripts malveillants : Le script injecté peut prendre le contrôle de l’interface utilisateur ou manipuler les données affichées.

Les mesures de prévention du XSS incluent l’encodage des entrées utilisateur, la validation des données côté serveur et l’utilisation de Content Security Policy (CSP) pour limiter l’exécution de scripts non autorisés. XSS est l’une des vulnérabilités les plus courantes dans les applications web, mais elle peut être atténuée par une bonne gestion des données et une sécurisation rigoureuse des entrées utilisateur.

Articles associés

L'impact WebPerf de vos ressources 1st et 3rd parties avec MilleCheck

1 avril 2025

Comprendre et optimiser l’impact WebPerf de vos ressources 1st vs 3rd party avec MilleCheck

Même si les navigateurs sont devenus plus performants, il faut faire attention à ne pas les surcharger notamment avec des services tiers sous peine de...

6 septembre 2019

WordPress : les 8 plugins réellement indispensables

Alors oui ! Je vous imagine râler à la lecture du titre : « encore un énième article sur le top ten des extensions WordPress ». Mais...

Définitions

Javascript: JavaScript est un langage de programmation dynamique principalement utilisé pour ajouter des fonctionnalités interactives aux pages web. Il permet de manipuler le DOM, de gérer des événements, et d'effectuer des requêtes asynchrones. Voir la définition complète
Cookie: Les cookies sont de petits fichiers texte stockés sur l'ordinateur de l'utilisateur par un site web. Ils servent à conserver des informations sur la navigation, comme les préférences de langue ou les sessions de connexion. Voir la définition complète
Requête: Le HTTP (HyperText Transfer Protocol) est un protocole utilisé pour transférer des données sur le web, permettant la communication entre un navigateur et un serveur pour afficher des pages web. Voir la définition complète
DOM: Le DOM (Document Object Model) est une représentation en structure d'arbre d'un document HTML ou XML, permettant aux développeurs d'accéder et de manipuler dynamiquement les éléments d'une page web via des langages de programmation comme JavaScript. Voir la définition complète
CSP: Le CSP (Content Security Policy) est une fonctionnalité de sécurité web qui permet de définir quelles ressources un site peut charger. Il aide à prévenir les attaques telles que l'injection de scripts malveillants (XSS). Voir la définition complète