SQL 注入就是在用户输入的字符串中加入 SQL 语句,如果程序没有进行检查的话,那么这些注入的sql会被认为是正常的sql语句而运行。避免的话,可以过滤一下输入的内容,进行一下校验。嗯。大概就这些。 XSS就是一种代码注入,比如在一个论坛中发布一段恶意的JavaScript代码。 然后CSRF就跨站请求伪造,比如冒充用户发起请求。因为cookie是嵌入浏览器的,所以请求可以自带,所以我们可以使用token的方法,放到localstorage中,在代码中放入。