Compétences frontend-mobile-security-xss-scan
🛡️

frontend-mobile-security-xss-scan

Sûr ⚡ Contient des scripts📁 Accès au système de fichiers

Analyser le code frontend pour les vulnérabilités XSS

Cette compétence aide les développeurs à identifier les vulnérabilités Cross-Site Scripting (XSS) dans le code React, Vue, Angular et JavaScript vanilla, en fournissant des corrections exploitables et des modèles de codage sécurisés.

Prend en charge: Claude Codex Code(CC)
🥉 74 Bronze
1

Télécharger le ZIP du skill

2

Importer dans Claude

Allez dans Paramètres → Capacités → Skills → Importer un skill

3

Activez et commencez à utiliser

Tester

Utilisation de "frontend-mobile-security-xss-scan". Analyser ce code pour XSS: element.innerHTML = userInput;

Résultat attendu:

## Vulnérabilité XSS trouvée

**Gravité:** Critique
**Type:** Manipulation HTML non sécurisée
**Emplacement:** Ligne 1
**CWE:** CWE-79

**Description:** Les données contrôlées par l'utilisateur assignées à innerHTML créent un risque XSS.

**Correction:** Utiliser element.textContent pour le texte brut, ou assainir avec DOMPurify:
```javascript
import DOMPurify from 'dompurify';
element.innerHTML = DOMPurify.sanitize(userInput);
```

Utilisation de "frontend-mobile-security-xss-scan". Vérifier ce code React: <div dangerouslySetInnerHTML={{__html: content}} />

Résultat attendu:

## Risque XSS React trouvé

**Gravité:** Élevé
**Type:** Rendu HTML non sécurisé React
**Emplacement:** Composant

**Problème:** dangerouslySetInnerHTML utilisé sans assainissement.

**Correction:** Assainir avant le rendu:
```javascript
import DOMPurify from 'dompurify';
<div dangerouslySetInnerHTML={{__html: DOMPurify.sanitize(content)}} />
```

Utilisation de "frontend-mobile-security-xss-scan". Trouver les problèmes XSS dans: <a href={userUrl}>Link</a>

Résultat attendu:

## Risque d'injection URL trouvé

**Gravité:** Élevé
**Type:** Injection URL

**Problème:** URL fournie par l'utilisateur dans l'attribut href sans validation.

**Correction:** Valider et assainir les URLs:
```javascript
const safeUrl = url.startsWith('http://') || url.startsWith('https://')
? url
: '#';
```

Audit de sécurité

Sûr
v1 • 2/25/2026

This is a legitimate defensive security skill for XSS vulnerability detection. The static analyzer flagged patterns are educational examples of vulnerable code that the skill teaches users how to detect. These patterns include innerHTML usage, fs.readFile for scanning files, and security best practices - all defensive security content, not malicious code. The skill provides guidance on identifying and fixing XSS vulnerabilities in frontend codebases.

1
Fichiers analysés
325
Lignes analysées
4
résultats
1
Total des audits
Problèmes à risque moyen (1)
SKILL.md:50-51SKILL.md:82-92SKILL.md:163-177
Educational Code Patterns
The skill contains examples of vulnerable code patterns (innerHTML, dangerouslySetInnerHTML, location.href) to teach detection. These are educational examples for vulnerability scanning, not actual vulnerabilities.
Problèmes à risque faible (1)
SKILL.md:59
Filesystem Access for Scanning
Uses fs.readFile to read source files for security scanning. This is legitimate for a vulnerability scanner tool.

Facteurs de risque

⚡ Contient des scripts (1)
SKILL.md:214
📁 Accès au système de fichiers (1)
SKILL.md:59
Audité par: claude

Score de qualité

38
Architecture
100
Maintenabilité
87
Contenu
50
Communauté
98
Sécurité
91
Conformité aux spécifications

Ce que vous pouvez construire

Audit de sécurité pour application web

Analyser une base de code React ou Vue avant la mise en production pour identifier et corriger les vulnérabilités XSS.

Intégration sécurité CI/CD

Intégrer l'analyse XSS dans les pipelines de build pour détecter les vulnérabilités avant le déploiement.

Assistant de revue de code sécurisé

Utiliser comme compagnon de codage pour examiner les modifications de code pour des problèmes de sécurité pendant le développement.

Essayez ces prompts

Analyse XSS de base 
Analyser ce code JavaScript pour les vulnérabilités XSS:

```
[PASTE CODE HERE]
```

Identifier tout usage de innerHTML, appels document.write, ou rendu d'entrée utilisateur non assaini.
Vérification de sécurité composant React 
Examiner ce composant React pour les vulnérabilités XSS:

```
[PASTE REACT CODE HERE]
```

Vérifier l'usage de dangerouslySetInnerHTML, l'injection de gestionnaire d'événements, et la gestion de données basée sur les props.
Rapport de sécurité complet 
Effectuer un audit de sécurité XSS complet sur la base de code suivante. Inclure les niveaux de gravité, références CWE, et corrections recommandées:

```
[PASTE CODE HERE]
```
Guide de codage sécurisé 
Quelles sont les alternatives sécurisées pour ce modèle de code potentiellement vulnérable?

```
[PASTE VULNERABLE CODE]
```

Fournir des corrections spécifiques utilisant DOMPurify ou des méthodes sûres du framework.

Bonnes pratiques

  • Toujours assainir les entrées utilisateur avant de rendre du HTML en utilisant DOMPurify ou des bibliothèques similaires
  • Préférer textContent à innerHTML pour rendre du contenu texte brut
  • Valider et lister les protocoles URL autorisés (http, https) avant de les assigner à href ou location

Éviter

  • Utiliser innerHTML avec des entrées utilisateur directes sans assainissement
  • Utiliser dangerouslySetInnerHTML sans assainissement DOMPurify
  • Assigner des URLs contrôlées par l'utilisateur à location.href sans validation

Foire aux questions

Qu'est-ce que le XSS?
Cross-Site Scripting (XSS) est une vulnérabilité qui permet aux attaquants d'injecter des scripts malveillants dans des pages web consultées par d'autres utilisateurs.
Cette compétence fonctionne-t-elle avec TypeScript?
Oui, la compétence analyse le code TypeScript et identifie les mêmes modèles de vulnérabilité qu'en JavaScript.
Peut-on analyser les applications Vue avec cette compétence?
Oui, la compétence inclut la détection des vulnérabilités spécifiques à Vue comme l'utilisation incorrecte de la directive v-html.
Quels niveaux de gravité sont utilisés?
Les résultats sont classés comme Critique, Élevé, Moyen ou Faible selon l'exploitabilité et l'impact potentiel.
Fournit-elle des correctifs pour les vulnérabilités?
Oui, chaque résultat inclut des conseils de remédiation spécifiques avec des exemples de code utilisant des alternatives sécurisées.
Cela peut-il remplacer les revues de sécurité manuelles?
Cette compétence est un assistant utile mais devrait compléter, et non remplacer, les audits de sécurité complets et les tests d'intrusion.

Détails du développeur

Auteur

sickn33

Licence

MIT

Dépôt

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/frontend-mobile-security-xss-scan

Réf

main

Structure de fichiers

📄 SKILL.md