A07 - XSS réfléchi (version sécurisée) - INF48 Sécurité des applications

✅ Correction : La valeur du paramètre q est échappée avec htmlspecialchars() avant affichage, et l'en-tête Content-Security-Policy bloque toute exécution de script inline. ← Retour au TP

Essayez le même payload que sur la version vulnérable : <script>alert('XSS')</script> apparaît tel quel comme texte, au lieu de s'exécuter.