XSS Basé sur le DOM
🇬🇧 DOM-based XSS
Type d'attaque XSS où la vulnérabilité réside dans le code côté client (JavaScript) plutôt que dans le code serveur. La charge malveillante est exécutée lorsque le navigateur modifie le DOM de la page en fonction de données contrôlables, comme un fragment d'URL.
💡 Exemple
Une application utilise JavaScript pour lire le paramètre 'name' dans l'URL (ex: https://site.com/#name=Paul) et l'afficher sur la page sans le filtrer. Un attaquant crée un lien avec '#name=<script>malware()</script>' pour piéger un utilisateur.