Cette page a été traduite à partir de l'anglais par la communauté. Vous pouvez contribuer en rejoignant la communauté francophone sur MDN Web Docs.
Cross-site scripting (XSS)
Une attaque de cross-site scripting (XSS) est une attaque dans laquelle un·e attaquant·e parvient à faire exécuter du code malveillant par un site cible comme s'il faisait partie du site lui-même. Ce code peut alors faire tout ce que le code du site peut faire. Par exemple, l'attaquant·e pourrait :
- accéder et modifier tout le contenu des pages chargées du site, ainsi que tout contenu dans le stockage local ;
- effectuer des requêtes HTTP avec les identifiants de l'utilisateur·ice, lui permettant d'usurper son identité ou d'accéder à des données sensibles.
Toutes les attaques XSS reposent sur deux éléments :
- Le site accepte une entrée qui pourrait avoir été forgée par un·e attaquant·e ;
- Cette entrée est incluse dans une page sans être assainie : c'est-à-dire sans garantir qu'elle ne sera pas exécutable comme JavaScript.