Cross-site Scripting (XSS)
XSS réfléchi dans du HTML sans encodageXSS stocké (contexte HTML sans encodage)XSS DOM — document.write avec location.searchXSS DOM avec innerHTML et location.searchXSS DOM dans l’attribut href avec jQuery et location.searchXSS DOM avec jQuery et événement hashchangeXSS réfléchi dans un attribut avec les chevrons encodésXSS stocké dans href d'une ancre avec guillemets encodésXSS réfléchi dans une chaîne JavaScript (chevrons HTML encodés)XSS DOM avec document.write à l’intérieur d’un selectXSS DOM dans AngularJS — chevrons et guillemets encodésXSS DOM réfléchiXSS DOM stockéXSS réfléchi dans le HTML avec balises bloquéesXSS réfléchi avec seulement des balises personnaliséesXSS réfléchi — balises SVG autoriséesXSS réfléchi dans la balise canonicalXSS dans une chaîne JavaScript avec apostrophe et antislash échappésXSS dans une chaîne JS — chevrons encodés, guillemets doubles encodés et apostrophe échappéeXSS stocké dans onclick avec encodage completXSS dans un template literal avec caractères Unicode échappésVol de cookies via XSSCapture de mots de passe via XSSXSS pour contourner les défenses CSRFÉvasion du sandbox AngularJS sans chaînesÉvasion du sandbox AngularJS avec CSPXSS avec événements et attributs href bloquésXSS dans une URL JavaScript avec caractères limitésXSS réfléchi protégé par une CSP très stricte — attaque par balisage suspenduXSS avec CSP et technique de contournement