XSS与CSRF攻击
XSS：跨站脚本（Cross-site scripting），通过客户端脚本语言（如JavaScript）在一个论坛发帖中发布一段恶意的JavaScript代码就是脚本注入，如果这个代码内容有请求外部服务器，那么就叫做XSS。
XSS类型:
反射型：经过后端，不经过数据库
存储型：经过后端，经过数据库
DOM：不经过后端
XSS防御:
1.白名单重新整理，用户输入的html，遍历树节点拿到数据，重新构造dom
树，树中标签，属性从白名单中获取，不能识别的则丢弃。
2.过滤器对请求中的特殊字符进行编码转化，如< 转码为 &lt。.
3.对表单内容做长度校验，长度短，无法输入攻击代码。
CSRF：跨站请求伪造（Cross-site request forgery），冒充用户发起请求,完成一些违背用户意愿的请求（如恶意发帖，删帖，改密码，发邮件等）
CSRF防御：
那就使用token吧，服务端生成随机码给前端。

                                                                   XSS与CSRF攻击
XSS：跨站脚本（Cross-site scripting），通过客户端脚本语言（如JavaScript）在一个论坛发帖中发布一段恶意的JavaScript代码就是脚本注入，如果这个代码内容有请求外部服务器，那么就叫做XSS。
XSS类型:
反射型：经过后端，不经过数据库
存储型：经过后端，经过数据库
DOM：不经过后端
XSS防御:
1.白名单重新整理，用户输入的html，遍历树节点拿到数据，重新构造dom
树，树中标签，属性从白名单中获取，不能识别的则丢弃。
2.过滤器对请求中的特殊字符进行编码转化，如< 转码为 &lt。.
3.对表单内容做长度校验，长度短，无法输入攻击代码。
CSRF：跨站请求伪造（Cross-site request forgery），冒充用户发起请求,完成一些违背用户意愿的请求（如恶意发帖，删帖，改密码，发邮件等）
CSRF防御：
那就使用token吧，服务端生成随机码给前端。