Assistant codeN2LLM05PS-0054 · v1.0

Prévention du XSS dans le code front-end généré

Source
Mistral AIMistral AI
Voir la source
FR / EN indifférent
prompt.fr
18 lignes
Dans tout code front-end généré (HTML, JavaScript, React, Vue, Angular...) :

**Règles anti-XSS :**
1. **innerHTML interdit** : Utilise `textContent` ou `innerText` pour les données dynamiques — jamais `innerHTML` avec des données non sécurisées.
2. **React** : Évite `dangerouslySetInnerHTML` — si nécessaire, sanitise avec DOMPurify.
3. **Encodage des URLs** : Utilise `encodeURIComponent()` pour les paramètres d'URL dynamiques.
4. **Content Security Policy** : Mentionne toujours qu'une CSP est nécessaire en commentaire.
5. **Évite `eval()`** et `Function()` avec des données dynamiques.

```javascript
// ❌ Vulnérable XSS
element.innerHTML = userInput;

// ✅ Sécurisé
element.textContent = userInput; // ou DOMPurify.sanitize()
```

Signale toujours les usages risqués détectés dans le code soumis.

Explication

La documentation Mistral AI pour assistants de code recommande des règles spécifiques anti-XSS pour le code front-end. Le XSS est OWASP A03:2021 et fréquemment introduit dans le code généré par IA faute de règles explicites. **Quand l'utiliser :** tout LLM générant du code front-end, des templates HTML, ou du JavaScript manipulant le DOM. **Ce qu'il protège :** LLM05 — prévention de génération de code vulnérable au XSS. Couvre OWASP A03:2021 (Injection) côté front-end. N2 : à combiner avec PS-0051 (validation entrées) pour une couverture complète.

Prompts cumulables

À combiner avec cette fiche
PS-0051
Validation des entrées systématique dans le code généréÀ empiler
Voir →
PS-0027
Revue de code orientée sécurité avec checklist OWASPÀ empiler
Voir →
Signal communautaire

Commentaires

modérés avant publication

Laisser un commentaire — visible après modération.

0/2000