FRmicrow/xss-prevention
.claude/skills/security/xss-prevention/SKILL.md
Prévenir les attaques XSS. Utiliser quand on affiche du contenu dynamique ou sanitize des entrées utilisateur.
tools
Updated Apr 16, 2026
$ install --global
skillsauthnpx skillsauth add FRmicrow/dataFootV1 xss-preventionInstall this skill globally with one command. Works with Claude Code, Cursor, and Windsurf.
Security Scan Results
3 of 9 scanners reported clean
Some scanners were skipped, did not run, or reported a non-clean status. Review each row below.
3
Scanners Passed
9
Scanners in report
Clean
TrivyContainer and dependency vulnerability scanner
95%
Clean
SemgrepStatic code analysis for vulnerabilities
95%
Clean
mcp-scan (Snyk)Model Context Protocol security validation
95%
Skipped
Snyk (dep)Open source security scanning
50%
Skipped
Socket.devSupply chain security analysis
50%
Skipped
VirusTotalMulti-engine malware detection
50%
Skipped
CrowdStrikeAdvanced threat intelligence
50%
Skipped
OSV-ScannerOpen Source Vulnerability database check
50%
Skipped
OWASP Dep-Check
50%
Last scanned: Apr 16, 2026, 2:01 AM4.4s1 file scanned
SKILL.md
- name:
- xss-prevention
- description:
- Prévenir les attaques XSS. Utiliser quand on affiche du contenu dynamique ou sanitize des entrées utilisateur.
- risk:
- critical
When to use
Activez cette compétence lorsque vous affichez des données provenant d’utilisateurs ou de sources externes dans des pages web.
Instructions
- Échappez toutes les données insérées dans le DOM pour qu’elles ne soient pas interprétées comme du code HTML ou JavaScript.
- Utilisez des liaisons de données sécurisées (par exemple JSX de React) qui échappent automatiquement les valeurs.
- Filtrez et validez les entrées pour interdire l’injection de balises ou d’attributs dangereux.
- Mettez en place une Content Security Policy (CSP) afin de restreindre les sources de scripts et d’éviter l’exécution de contenu non approuvé.
- Évitez d’utiliser
innerHTMLavec des chaînes dynamiques ; si nécessaire, passez-les au préalable par un parseur ou un sanitizer fiable.
Example
Dans React, affichez une variable comment dans le rendu avec {comment}. Même si le contenu contient <script>alert('XSS')</script>, il sera rendu en texte brut et n’exécutera pas le script.
Limitations
Cette compétence couvre les XSS réfléchies et stockées. D’autres vulnérabilités front-end (CSRF, clickjacking) nécessitent des contre-mesures distinctes.
Related Skills
FRmicrow/unit-testing-node
development
VerifiedTrustedCommunity
Écrire des tests unitaires Node.js. Utiliser quand on teste une fonction isolée avec Vitest dans backend/test/.
SKILL.mdUpdated Apr 16, 2026
FRmicrow/integration-testing
testing
VerifiedTrustedCommunity
Tester l'intégration entre services. Utiliser quand on vérifie l'interaction contrôleur/service avec Supertest + Vitest.
SKILL.mdUpdated Apr 16, 2026
FRmicrow/frontend-testing-react
development
VerifiedTrustedCommunity
Tester les composants React avec Vitest + Testing Library. Utiliser quand on teste le rendu ou les interactions.
SKILL.mdUpdated Apr 16, 2026
FRmicrow/e2e-testing-playwright
testing
VerifiedTrustedCommunity
Écrire des tests end-to-end Playwright. Utiliser quand on teste l'application complète du point de vue utilisateur.
SKILL.mdUpdated Apr 16, 2026