Cross-Site Scripting (XSS)
Qu'est-ce que c'est?
Le XSS permet à un attaquant d'injecter du JavaScript malveillant dans vos pages web, qui s'exécute dans le navigateur des visiteurs.
Types
- Stored XSS — Script stocké en base de données (commentaires, profils)
- Reflected XSS — Script dans l'URL, reflété dans la page
- DOM XSS — Manipulation du DOM côté client
Prévention
- Échappement — Échappez toutes les sorties:
htmlspecialchars($data, ENT_QUOTES, 'UTF-8') - CSP — Content Security Policy pour bloquer les scripts inline
- Validation — Validez et filtrez toutes les entrées
- HttpOnly cookies — Empêche JavaScript d'accéder aux cookies de session
WordPress
Utilisez les fonctions d'échappement WordPress: esc_html(), esc_attr(), wp_kses().
Cet article vous a-t-il été utile?
Articles similaires