xss的3种类型 XSS 是代码注入问题,CSRF 是 HTTP 问题 csrf 特点:冒充受害者提交操作;而不是直接窃取数据 阻止csrf方法: 判断请求是否来自外域: Origin HeaderReferer Header 浏览器发起请求时,大多数情况会自动带上,不能由前端自定义内容。服务端通过判断此字段和请求路径得出结论