xss

xss是什么呢，说白了就是浏览器在不应该执行js的地方，被恶意插入了js代码，从而执行了一些本来不想执行的js代码。 既然是js代码，那就必须有路径进入 1，url 2，get post 请求 防范： 1， 从url获取的信息，前端进行对特殊字符进行转意和替换特殊字符，比如script 转换之后，浏览器就只会展示，但是不会执行这些脚本了。 2， 设置http-only

csrf

就是在用户登录的情况下，诱惑用户访问非法网站，然后自己带上cookie，去合理的请求非法信息。 防范： 1， 判断请求来源 2， 加一个额外的信息token，登录后的请求都带上token，隐藏一个token 3， 多长时间没有操作可以登出

HTTP劫持

使用ifram嵌入页面，ui 装饰来诱导用户点击 防范： X-Frame-Options 禁止页面加载iframe， 或者设置ifame sanbox属性，把ifame的权限设置在最小的范围内。

一些设置

比如csp，设置可信来源，X-Content-Type-Options 浏览器解析类型，