Un lab PortSwigger sur le dangling markup injection m’a amené à me demander ce qui se passe réellement entre le HTML brut envoyé par un serveur et ce qu’un navigateur affiche. Cet article retrace ce cheminement, d’un /login disparu du DOM jusqu’à la machine à états du tokenizer HTML, la construction de l’arbre et la sanitization DOMPurify. Moins un write-up qu’une exploration des mécanismes du parsing HTML.
Bienvenue
Ce blog regroupe des articles autour de la sécurité offensive et du développement. Les articles sont disponibles en français et en anglais.
Handcrafted articles only. No gen AI.