Dyrk

Une XSS, qu'est-ce que c'est ?
C'est un petit bout de code mélangeant parfois HTML, parfois Javascript, parfois les deux, mais dont la finalité est souvent de vous plumer !!!!

Alors comment s'en protéger ...

Il va s'en dire, qu'il est important de vérifier ce que vos utilisateurs peuvent et ne peuvent pas enregistrer sur votre site internet (commentaire, article, ...)

Et ensuite, parmi tout cela, de vérifier, ce qui sera publié sur vos pages et donc visible par tous ... 

Mais ça, c'est un vieux conseil, que vous trouverez un peu partout ...

J'aimerais vous proposer de vous plonger sur un autre aspect de sécurisation ...

Les développeurs le sauront ... les autres moins, mais ... lorsque vous avez un formulaire de connexion, ou bien n'importe quel contenu sur une page...
Un hacker qui réussit à injecter du code, pourra très bien les utiliser ... les modifier ....

Aussi, il est possible, si vous savez que vous n'aurez plus besoin de ses fonctions ... (une fois utilisée), d'en verrouiller l'accès.

Exemple : 

/*
*
*	Fonction qui supprime les méthodes
*	dont nous n'auront plus besoin sur l'objet
*
*/
var ProtectElement = function(el){
		el.setAttribute     	= -1;
		el.getAttribute     	= -1;
		el.addEventListener = -1;
}


/*
*
*  Je crée mon élément
*
*/
var test = document.createElement('input');


/*
*
*	Je modifie mon élément
*
*/
test.setAttribute('type', 'button');
test.setAttribute('value','toto');
test.addEventListener('click', function(){alert(123);})
document.body.appendChild(test);



/*
*
*	Je protége mon élement
*
*/
ProtectElement(test);



/*
*
*	Injection XSS d'un hacker ... mais ... qui ne fonctionnera pas 
*
*/
test.setAttribute('value','toto2');
test.addEventListener('click', function(){alert(456);})

Cette petite astuce, bloque également l'action des extensions pour navigateur, qui tenteraient d'altérer le contenu de vos pages.