XSS 跨站脚本攻击

反射型XSS

恶意代码并没有保存在目标网站，通过引诱用户点击一个链接到目标网站的恶意链接来实施攻击。

存储型XSS

恶意代码被保存到目标网站的服务器中，这种攻击具有较强的稳定性和持久性，比较常见场景是在博客，论坛、OA、CRM等社交网站上。

如何预防？

对输入数据进行过滤转义，传输数据采用特殊编码；

CSRF 跨站请求伪造

（1）用户在a站前端页面发起登录（身份认证）请求 （2）a站后端确认身份，登录成功，cookie中存在用户的身份认证信息 （3）b站前端页面向a站后端发起请求，带着a站的cookie信息（身份认证信息），请求成功 综上，可以清楚的知道，只要用户访问了b站的前端页面，b站就可以在用户完全不知道的情况下，带着a站的用户登录态（cookie）向a站发起请求

如何预防？

（1）验证 HTTP Referer 字段 （2）在请求地址中添加 token 并验证 （3）在 HTTP 头中自定义属性并验证

参考文章