XSS, CSP, en-têtes de sécurité, stockage de jetons, CSRF et CORS : les réflexes essentiels pour ne pas laisser de portes ouvertes côté navigateur.
Une donnée utilisateur non échappée peut contenir du code. La méthode d'affichage change tout : innerHTML l'exécute, textContent la traite comme du texte. La CSP ajoute un filet de sécurité.
Affichez toujours la saisie utilisateur avec textContent (jamais innerHTML) : le navigateur la traite comme du texte, pas comme du code. La CSP est un filet de sécurité qui bloque les scripts d'origine non autorisée — utile, mais elle ne remplace pas l'échappement.
Six questions pour vérifier que les réflexes de sécurité front sont bien acquis.