XSS攻击

• 主要是指在页面在展示可被用户修改的数据时，未进行转义即展示，带来的问题即是可以在页面展示的时候,会可在页面上直接执行 javascript 脚本,而一旦 javascript 脚本可以执行,那么脚本可以任意获取到页面上的任意位置的数据,甚至是 cookie 的数据.

解决办法

前后端对用户输入的数据进行转码,后端一般采用拦截器对数据进行处理

CSRF攻击

• CSRF（Cross-site request forgery跨站请求伪造，也被称为“One Click Attack”或者Session Riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。尽管听起来像跨站脚本（XSS），但它与XSS非常不同，并且攻击方式几乎相左。XSS利用站点内的信任用户，而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。

解决办法

一般采用服务器token、随机数、验证码等形式,通常攻击者不能获得第三方的Cookie（理论上）

sqlins攻击

即是 sql 注入，通常存在于没有使用一些数据库连接的库的场景下，现在基本见不到了~