Qu'est-ce que le Cross-Site Scripting (XSS) et comment le prévenir ?

Question

Accepted Answer

**Cross-Site Scripting (XSS)** est une vulnérabilité où un attaquant injecte du **JavaScript** malveillant dans une page web consultée par d'autres utilisateurs — s'exécutant dans leurs navigateurs pour voler des données, détourner des sessions ou effectuer des actions en leur nom. C'est une vulnérabilité web courante et dangereuse, prévenable avec un traitement approprié des données affichées. ## Comment fonctionne XSS ```text When user input is rendered into a page WITHOUT proper escaping, injected SCRIPTS run: ``` ```html

Welcome, <%= userInput %>

``` Le script injecté s'exécute dans les navigateurs des victimes **comme s'il provenait du site de confiance** — permettant aux attaquants de voler les cookies/tokens de session, de détourner des comptes, de capturer les frappes clavier ou d'effectuer des actions en tant qu'utilisateur. ## Types de XSS ```text STORED → malicious script SAVED on the server (e.g. in a comment) → served to all viewers REFLECTED → script in a request (e.g. a URL parameter) reflected back in the response DOM-based → client-side JS unsafely puts untrusted data into the DOM ``` ## Prévention ```text ✓ ESCAPE/ENCODE output → render user data as TEXT, not HTML (the key defense): → frameworks (React, Angular, Vue) auto-escape by default → use them properly → escape based on context (HTML, attribute, JS, URL) ✓ AVOID dangerous APIs → innerHTML, dangerouslySetInnerHTML, eval with untrusted data ✓ SANITIZE HTML if you must allow it (e.g. DOMPurify for rich text) ✓ Content Security Policy (CSP) → restricts what scripts can run (defense in depth) ✓ HttpOnly cookies → JS can't read them (limits cookie theft via XSS) ``` ## Pourquoi c'est important Comprendre le XSS et comment le prévenir est essentiel car c'est une **vulnérabilité web courante et dangereuse** qui permet aux attaquants d'exécuter des scripts malveillants dans les navigateurs des utilisateurs, c'est donc une connaissance en sécurité incontournable pour les développeurs web. Comprendre **comment cela fonctionne** — que le rendu des données utilisateur dans une page sans échappement approprié permet au **JavaScript injecté de s'exécuter dans les navigateurs d'autres utilisateurs dans le contexte du site de confiance**, permettant aux attaquants de voler les cookies et tokens de session, de détourner des comptes et d'agir en tant qu'utilisateur — est nécessaire pour reconnaître et prévenir la vulnérabilité. XSS est dangereux car il compromet les sessions et les données des utilisateurs, et c'est courant dans les applications web qui affichent du contenu généré par l'utilisateur. Comprendre les **types** (XSS stocké — les scripts malveillants sauvegardés sur le serveur et servis à tous les visiteurs, le plus dangereux ; XSS réfléchi — les scripts réfléchis à partir d'une requête ; XSS basé sur le DOM — manipulation DOM côté client dangereuse) aide à reconnaître les différents vecteurs d'attaque. Comprendre la **prévention** est essentiel : **échapper/encoder les données affichées** (rendre les données utilisateur en tant que texte, pas HTML — la défense clé, que les frameworks modernes comme React font automatiquement par défaut quand ils sont utilisés correctement), **éviter les API dangereuses** (innerHTML, dangerouslySetInnerHTML, eval avec des données non fiables — sources XSS courantes), **nettoyer le HTML** quand du contenu riche doit être autorisé (par exemple DOMPurify), **Content Security Policy** (restriction de l'exécution de scripts comme défense en profondeur), et **cookies HttpOnly** (empêcher le JavaScript de les lire). Comprendre que les frameworks échappent automatiquement (donc les utiliser correctement prévient la plupart des XSS, tandis que contourner leur échappement les réintroduit) est pratiquement important. Puisque XSS est une vulnérabilité courante et dangereuse qui compromet les sessions et les données des utilisateurs, en particulier dans les applications affichant du contenu utilisateur, et puisque comprendre comment cela fonctionne et comment le prévenir (échappement des données affichées, éviter les API dangereuses, CSP, défauts des frameworks) est essentiel pour les développeurs web, comprendre le XSS et sa prévention est une connaissance en sécurité essentielle et incontournable — une vulnérabilité web fondamentale à défendre, où un traitement approprié des données affichées (échappement, utilisation des défauts des frameworks, évitement des API dangereuses) est une connaissance critique pour protéger les utilisateurs contre une classe d'attaques répandue.