xss和csrf介绍 1.xss 跨站脚本攻击,csrf 跨站请求伪造 2.xss 浏览器向服务器请求时注入脚本攻击 分为三种类型:反射性(非持久型)、存储型(持久型)、基于dom 防范手段:输入过滤、输出过滤、加httponly请求头锁死cookie 3.csrf 黑客通过网络b诱使用户去访问已经登录了的网站a,进行一些违背用户意愿的请求,造成用户损失 防范手段:服务器验证http请求头refer、请求时验证token、加验证码