Une attaque XSS, abbréviation de Cross Site Scripting, permet d'exécuter du code sur un site web afin de modifier son affichage ou son comportement.
L'objectif d'une attaque XSS est varié :
- Redirection de l'utilisateur dans un but d'hameçonnage
- Vol d'informations
- Actions sur le site à l'insu de la victime et sous son identité
- Rendre la lecture d'une page difficile
- Diffusion de virus
Un exemple
Sur votre site, une page nommée exemple.php?description=Bonjour contient un paramètre description. Ce paramètre va être utilisé dans votre page comme ci-dessous :
<?php
echo $_GET['description'];
?>
L'attaquant va pouvoir utiliser ce paramètre description pour y ajouter du code javascript en appelant exemple.php?description=<script>alert('bonjour');</script>
Cet exemple va lancer une boite de dialogue affichant bonjour. Bon vous allez me dire que c'est pas bien grave... Mais en fait cela constitue une porte ouverte et une faille importante de sécurité. En envoyant un code bien plus complexe, l'attaquant peut exporter des informations privées des internautes naviguant sur votre site et peut même au final prendre le contrôle de leur ordinateur.
Que faire ?
Développer votre site en protégeant les paramètres avant de les afficher.
Exemple de protection avant d'afficher un paramètre :
<?php echo htmlentities($_GET['description']); ?>
Cet exemple est bien sur simplifié au maximum dans le cadre de cet article. Pour une protection complète et un audit sécurité de votre site c'est par ici.
Par Thibaut Pietri
Ingénieur informatique spécialisé réseau, basé à Toulouse, j'ai plus de 25 ans d'expérience en développement et sécurisation de sites Internet, Extranet & applications mobiles autour des technologies LAMP (Linux/Apache/MySQL/PHP) sur différents outils de gestion de contenu (Wordpress, Prestashop, Drupal, Isens Evolution...).
Derniers articles
SEO vs GEO : pourquoi le trafic des moteurs IA ne ressemble pas au trafic Google
29 mai 2026 Le SEO reste indispensable pour générer du trafic depuis Google. Mais avec l’arrivée des moteurs IA comme ChatGPT, Gemini, Perplexity ou Copilot, une nouvelle logique apparaît : le GEO.
Audit GEO : 10 points pour savoir si votre site est prêt pour les moteurs IA
22 mai 2026 Le GEO, ou Generative Engine Optimization, consiste à optimiser un site pour qu’il soit mieux compris, cité et recommandé par les moteurs de recherche IA comme ChatGPT, Gemini, Perplexity ou les nouvelles réponses générées de Google. Mais votre site est-il vraiment prêt ? Voici une checklist en 10 points essentiels pour réaliser un premier audit GEO.
Protéger vos formulaires sans réduire votre taux de conversion : quelles solutions captcha choisir ?
30 avril 2026 Les captchas sont devenus indispensables pour protéger les formulaires d’un site web contre le spam et les robots. Formulaire de contact, inscription, demande de devis… tous peuvent être ciblés. Mais toutes les solutions ne se valent pas.