XSS跨站脚本攻击(Cross Site Scripting)
原理：
采用恶意script脚本注入，类似于sql注入
解决方案：
对输入参数进行校验，处理可疑字符

CSRF（Cross Site Request Forgery, 跨站域请求伪造）
登录信任站点A，产生了cookie信息
在cookie没有失效时进入危险站点B，危险B站点有一个图片标签（<img src=http://B.com/csrf?xx=11 />）则会302重定向请求站点A，这时浏览器会携带A站点的Cookie达到伪造访问的效果
解决方案：
1.请求头增加Referer头信息，该信息会标示是从哪个站点跳转的，服务端可以对其进行校验，发现Referer显示的是B站点，则拦截
2.增加token校验字段，在后端对token进行校验；token可以在用户登录后产生响应给客户端并存放在session中，每次访问做校验

 

 

XSS: https://www.secpulse.com/archives/57411.html