XSS (Cross-Site Scripting)

PHP 🟢 Junior

Definition

Vulnerabilite permettant l'injection de scripts malveillants dans une page web vue par d'autres utilisateurs. Vole des sessions, redirige, defigure.

Analogie

Comme quelqu'un qui colle un faux panneau dans un magasin pour tromper les clients.

Exemple de code

// DANGEREUX
echo "Bonjour $username";

// SECURISE
echo 'Bonjour ' . htmlspecialchars($username, ENT_QUOTES, 'UTF-8');

Cas d'usage

A chaque affichage de donnees dynamiques dans du HTML, sans exception.

Anti-pattern

Echapper seulement en entree et afficher en confiance, ou oublier le charset UTF-8.

Termes lies

#core#interview#security