@@ -40,8 +40,13 @@ Pour se protéger, il est recommandé de paramétrer toutes les requêtes en uti
### 2. Injection XSS – Cross-Site Scripting
Une attaque XSS consiste à injecter du code JavaScript malveillant dans une donnée affichée par l'application sans filtrage. Ce script sera exécuté **dans le navigateur de la victime**, permettant au pirate d'agir à son insu.
On distingue principalement deux formes :
***XSS réfléchi** : le code injecté est renvoyé immédiatement par le serveur (ex. via un paramètre d’URL). L’attaque ne fonctionne que si la victime clique sur un lien piégé ou soumet une donnée malveillante.
***XSS stocké** : le code est sauvegardé dans la base de données (ex. commentaire, pseudo, message). Chaque visiteur de la page affiche et exécute automatiquement le script injecté, ce qui rend l’attaque plus dangereuse.
Dans les deux cas, l’absence d’échappement des données utilisateur permet au script malveillant d’être inséré dans le HTML et exécuté par le navigateur.
