摘要：攻擊及防御中文名稱跨站請求偽造，攻擊者盜用客戶的身份，以客戶名義發送惡意請求。攻擊及防御全稱跨站腳本攻擊，就是通過向網站寫入腳本來實現攻擊。后端接收請求時，驗證請求是否含有攻擊請求，并對攻擊請求進行截取屏蔽。

                            CSRF攻擊及防御:

CSRF 中文名稱：跨站請求偽造，攻擊者盜用客戶的身份，以客戶名義發送惡意請求。

產生原因：如圖

當用戶訪問一個安全的網站A，A返回給客戶端一個正確的cookie，但是用戶在沒
有登出A的網站情況下登錄B危險網站，B要求訪問第三方站點，這時候會通過用戶
向安全的網站那A發出一個不合理的危害請求，這時候由于請求帶著cookie A不
知道這是危險網站發出的，以為是用戶正常發出的，導致危害。

防御方法：

①：利用攻擊者不能獲得第三方的Cookie(理論上)，在頁面增加加密的cookie值，以及Hash值，當發送請求的時候服務器對加密的cookie進行驗證，并驗證hash以便確認是真正客戶。
②： 每次的用戶提交都需要用戶在表單中填寫一個驗證碼，這樣可以有效的防止其他網站惡意攻擊。

                XSS攻擊及防御:
            

XSS全稱跨站腳本攻擊，就是通過向網站寫入js腳本來實現攻擊。攻擊者在Web頁面里插入惡意html代碼，當用戶瀏覽該網頁時，嵌入其中代碼會被執行，從而達到攻擊用戶的目的。

XSS分兩種類型：
① 非持久性攻擊：
在URL的后面拼接 那么用戶打開此鏈接，就會直接執行js，這種攻擊都是一次性的，誘使別人點擊，從而通過執行腳本，獲取對方的cookie。你得到對方的cookie后，就可以為所欲為了。

② 持久性攻擊：
這種攻擊就不是在url上下手了，而是直接把注入代碼寫到網站數據庫中。有些網站呢，是內容生成網站，比如很多的博客站，此時，如果不對用戶輸出的內容加以過濾，就可以注入一些js腳本內容。這樣，別人看到這篇博客時，已經在執行他寫的js腳本了。（新浪種過大招。。）

解決方案：
①：前端后端在顯示數據和存儲數據的時候，對標簽進行轉義過濾，比如將