Développement

XSS

Le XSS (Cross-Site Scripting) est une vulnérabilité qui permet à un attaquant d'injecter du code JavaScript malveillant dans une page web consultée par d'autres utilisateurs. Cette faille, régulièrement classée dans le Top 10 OWASP, peut mener au vol de sessions, à la redirection vers des sites frauduleux ou à la modification du contenu affiché.

Comment ça fonctionne

Un attaquant exploite un champ de saisie mal protégé pour insérer un script exécuté par le navigateur de la victime. Il existe trois variantes : XSS stocké (persistant en base), XSS réfléchi (via l'URL) et XSS basé sur le DOM. Chacune nécessite des contre-mesures spécifiques.

Se protéger efficacement

La protection repose sur l'échappement systématique des sorties, la validation des entrées et l'utilisation d'en-têtes de sécurité comme Content-Security-Policy. Les frameworks modernes comme Symfony et Twig échappent automatiquement le HTML, mais la vigilance reste de mise sur les contextes JavaScript et les attributs.

Le XSS reste l'une des failles les plus répandues sur le web, pourtant elle est évitable avec des pratiques de développement rigoureuses et un framework qui protège par défaut.

Services associés

Nos prestations en lien avec xss

Développement web sur mesure : applications et SaaS

Développement d'applications web sur mesure : outils métiers, plateformes SaaS, architecture robuste, code documenté et livré sans verrou propriétaire.

Reprise et refonte d'application web sans rupture

Reprise et refonte d'applications web existantes. Modernisation progressive, sécurisation de l'existant et amélioration des performances sans interruption.

Maintenance et évolution long terme d'applications web

Maintenance applicative web et évolutions continues. Sécurité, performance, dette technique et nouvelles fonctionnalités avec visibilité et fiabilité.

Articles associés

Pour aller plus loin

Comparaison entre un site WordPress et une application web sur mesure

Stratégie, Développement

WordPress vs développement sur mesure : comment choisir ?

14 min de lecture

Illustration de deux frameworks PHP en comparaison

Développement, Architecture

Symfony vs Laravel : quel framework pour un projet critique ?

15 min de lecture

Un développeur analyse des métriques de qualité de code sur un tableau de bord

Stratégie, Développement

Réduire sa dette technique sans tout arrêter

12 min de lecture

Un diagramme de coûts et de planification d'un projet de refonte web

Stratégie, Développement

Refonte d'application web : coûts réels et cachés

12 min de lecture

Une file d'attente de messages simplifiée par un filtre intelligent

Développement, Architecture

Traiter le dernier message avec Symfony Messenger

10 min de lecture

Un développeur travaille sur un projet web aidé par une IA

Intelligence artificielle, Développement

REX : refonte web avec Stitch, ChatGPT et Gemini

15 min de lecture

Un écran d'ordinateur affiche du code PHP et son rendu dans le navigateur web

PHP n'est pas mort, mais mal choisi il coûte cher

15 min de lecture

Même catégorie

Autres termes : Développement

A/B testing L'A/B testing compare deux variantes d'une fonctionnalité pour identifier celle qui performe le mieux. Méthode, outils et limites pour des décisions éclairées.

API Une API (Application Programming Interface) est un contrat d'échange entre deux systèmes logiciels. Découvrez son rôle central dans les architectures web modernes.

API Platform API Platform est le framework de référence pour créer des API REST et GraphQL en PHP/Symfony. Découvrez ses fonctionnalités et son rôle dans les architectures modernes.

Accessibilité web L'accessibilité web (a11y) consiste à concevoir des sites et applications utilisables par tous, y compris les personnes en situation de handicap.

Backend Le backend est la partie invisible d'une application web : serveur, base de données, logique métier et API. C'est le moteur qui fait tourner votre produit.

Base de données Une base de données est un système organisé de stockage et de récupération d'informations. Relationnelle ou NoSQL, elle est au cœur de toute application web.

Clean code Le clean code est une discipline de développement qui privilégie la lisibilité, la simplicité et la maintenabilité du code source.

Code legacy Le code legacy désigne du code ancien, difficile à maintenir et à faire évoluer. Comment l'identifier, le gérer et le moderniser progressivement.

Data pipeline Un data pipeline est une chaîne automatisée de traitements qui collecte, transforme et achemine les données d'une source vers une destination.

Design patterns Les design patterns sont des modèles de conception réutilisables qui résolvent des problèmes architecturaux fréquents en développement logiciel.

Design system Un design system est un ensemble de composants, règles et guidelines partagés qui garantissent la cohérence visuelle et fonctionnelle d'un produit.

Dette technique La dette technique est le coût caché des compromis techniques accumulés dans un projet. Découvrez comment l'identifier, la mesurer et la maîtriser avant qu'elle ne bloque votre évolution.

ETL L'ETL (Extract, Transform, Load) est un processus de migration et d'intégration de données entre systèmes. Le socle de toute stratégie data.

Elasticsearch Elasticsearch est un moteur de recherche et d'analyse distribué. Découvrez ses fonctionnalités, ses cas d'usage et comment il améliore l'expérience de recherche dans vos applications.

Feature flags Les feature flags permettent d'activer ou désactiver des fonctionnalités en production sans nouveau déploiement. Un levier puissant pour livrer plus vite et réduire les risques.

Framework Un framework est un socle logiciel structurant qui fournit conventions, outils et bibliothèques pour développer plus vite et plus proprement.

Frontend Le frontend est la partie d'une application web avec laquelle l'utilisateur interagit directement : HTML, CSS, JavaScript et frameworks comme React.

Headless CMS Un headless CMS sépare la gestion du contenu de sa présentation. Il expose le contenu via une API, consommable par n'importe quel front-end.

Injection SQL L'injection SQL est une attaque qui manipule les requêtes de base de données via des entrées utilisateur non filtrées. Une menace toujours d'actualité.

Jamstack La Jamstack (JavaScript, APIs, Markup) est une architecture web qui pré-génère les pages et s'appuie sur des API pour le contenu dynamique.

Monorepo Un monorepo regroupe plusieurs projets ou modules dans un même dépôt Git. Avantages, inconvénients et quand cette stratégie est pertinente.

NoSQL NoSQL désigne les bases de données non relationnelles, conçues pour la flexibilité, la scalabilité horizontale et les structures de données variées.

OAuth2 / Authentification OAuth2 est le standard d'autorisation qui sécurise l'accès aux API et aux applications web. Découvrez ses mécanismes, ses flux et comment les implémenter correctement.

OWASP L'OWASP (Open Web Application Security Project) est une organisation qui publie les standards de référence en matière de sécurité applicative, dont le célèbre Top 10.

Observabilité L'observabilité est la capacité à comprendre l'état d'un système à partir de ses sorties. Logs, métriques et traces : les trois piliers pour piloter vos applications.

PHP Découvrez PHP, le langage de programmation serveur le plus utilisé au monde. Ses forces, ses évolutions récentes et pourquoi il reste un choix stratégique pour vos projets web.

PWA Une PWA est une application web qui offre une expérience proche d'une application native. Découvrez ses fonctionnalités, ses avantages et quand la préférer à une app mobile classique.

Pentesting Le pentesting (test d'intrusion) consiste à simuler des attaques sur une application pour identifier ses vulnérabilités avant qu'un attaquant ne les exploite.

PostgreSQL PostgreSQL est le système de gestion de base de données relationnelle open source le plus avancé. Découvrez ses forces, ses fonctionnalités et pourquoi le choisir pour vos projets.

REST API Une REST API est une interface de programmation qui permet à des applications de communiquer via HTTP. Découvrez ses principes, ses bonnes pratiques et son rôle dans les architectures modernes.

React React est la bibliothèque JavaScript la plus populaire pour construire des interfaces utilisateur dynamiques. Découvrez ses principes, ses avantages et ses cas d'usage.

Redis Redis est un système de stockage en mémoire utilisé pour le cache, les files de messages et les sessions. Découvrez comment il accélère vos applications web.

Refactoring Le refactoring consiste à restructurer du code existant pour le rendre plus lisible, maintenable et évolutif, sans modifier son comportement fonctionnel.

Refonte d'application La refonte d'application consiste à reconstruire un logiciel existant. Découvrez les signaux qui l'imposent, les stratégies possibles et les pièges à éviter.

SOLID SOLID est un acronyme regroupant cinq principes de conception orientée objet qui guident l'écriture de code flexible, maintenable et extensible.

SQL SQL (Structured Query Language) est le langage standard pour interroger et manipuler les bases de données relationnelles. Un fondamental du développement web.

SSR / CSR Le SSR (Server-Side Rendering) et le CSR (Client-Side Rendering) sont deux approches de rendu des pages web. Découvrez leurs différences, avantages et cas d'usage respectifs.

Stack technique La stack technique est l'ensemble des technologies qui composent votre application. Découvrez comment la choisir pour garantir performance, maintenabilité et pérennité.

Symfony Symfony est le framework PHP de référence pour les applications web d'entreprise. Découvrez ses avantages, son architecture et pourquoi les équipes techniques le choisissent.

TailwindCSS TailwindCSS est un framework CSS basé sur des classes utilitaires. Découvrez son approche, ses avantages et pourquoi il accélère le développement d'interfaces web modernes.

Tests automatisés Les tests automatisés vérifient le bon fonctionnement de votre application à chaque modification de code. Découvrez les différents types de tests et leur rôle dans un projet web.

UX/UI L'UX (expérience utilisateur) et l'UI (interface utilisateur) sont deux disciplines complémentaires qui déterminent la qualité perçue d'une application.

Vite Vite est un outil de build et de développement front-end qui révolutionne la vitesse de compilation. Découvrez son fonctionnement, ses avantages et son intégration avec Symfony.

Web scraping Le web scraping est une technique d'extraction automatisée de données depuis des pages web. Cas d'usage, cadre légal et bonnes pratiques.

WebSocket Le protocole WebSocket permet une communication bidirectionnelle en temps réel entre le navigateur et le serveur. Découvrez ses cas d'usage et son fonctionnement.

Webhook Un webhook est un mécanisme de callback HTTP qui permet à une application de notifier une autre en temps réel lorsqu'un événement se produit. Fonctionnement et cas d'usage.

Voir tout le glossaire arrow_forward

Un projet en lien avec xss ?

Échangeons sur vos enjeux techniques. Pas de discours commercial, pas de jargon inutile : un diagnostic clair et des solutions concrètes.

Démarrer votre projet arrow_forward