La FAILLE XSS (CROSS-SITE SCRIPTING)
une faille XSS consiste a injecter du code directement interprétable par le navigateur web (exp : du JavaScript ou du HTML)
cette attaque vise la partie client c'est a dire vous (ou plutôt votre navigateur)
Ce dernier ne fera aucune différence entre le code du site et celui injecté par le pirate , il va danc s'exécuter sans broncher
les possibilité sont nombreuses : redirections vers un autre site, vol de cookies, modification du code HTML de la page ,exécution d'exploits contre le navigateur.......
En php, vous pouvez utiliser les fonctions htmlentities ou htmlspecialchar
pour échapper le code HTML , il suffit d'utiliser la fonction htmlspecialchar qui va transformer les chevrons des balises HTML <>en<, et>, respectivement cela provoquera
l'affichage de la balise plutôt que son exécution
si vous préférez retirer les balises HTML que le visiteur a tenté d'envoyer plutôt que de les afficher , utilisez la fonction strip-tags
Essayer de taper dans la zonz de saisie
<h1 style="color: gray "> <u> teste </u>
<script>alert("Coucou tu veux voir ma .... faille XSS?");
</script>