1. xss

原本是css，跨站脚本攻击，为了区分css,所以写成xss，攻击的对象是浏览器

• 分类：

反射型：提交恶意代码请求到服务器，服务器返回恶意的东西，篡改浏览器 
存储型：提交恶意代码被存储到服务器，导致普通用户都能过够访问恶意代码 
Dom:再服务器给浏览器上传内容中途，被插入恶意代码

• 防御措施：

1.对输入给服务器、输出到浏览器的内容进行过滤，比如url，post数据等 
2.对上传内容、输出内容进行转义 
3.对cookie标记为httponly,这样安全

1.csrf

跨站请求伪造，访问网站a的时候，访问网站b，被获取了网站a的隐私信息

• 防范：主要在服务器端防范的，

1.主要验证请求头refer字段 
2.加token 
3.加验证码