/** * XSS跨站请求攻击 * eg:博客网站发表文章内容嵌入script脚本,脚本内容获取cookie发送到我的服务器(服务器配合跨域)),有人看了,就能窃取cookie * 预防: 替换特殊符号 比如 < 变为 < > 变为> 最好是前后端都处理。 npm有xss工具 * XSRF跨站请求伪造 * eg: img中的src支持跨域,给你发邮件然后去加载img触发地址请求,访问你访问过的比如淘宝 * 预防,多做些验证 */