安全相关

一、XSS

跨站脚本攻击

1. 正常用户 A 提交正常内容，显示在另一个用户 B 的网页上，没有问题。
2. 恶意用户 H 提交恶意内容，显示在另一个用户 B 的网页上，对 B 的网页随意篡改。

解决办法

1. 后台将可以符号转为html转义符
2. 前端过滤输入，自己拼html

二、CSRF

跨站请求伪造
就是利用后台有规律的接口，攻击者在被攻击的网站页面嵌入这样的代码，当用户访问该网站的时候，会发起这条请求。
1.客户端防范：对于数据库的修改请求，全部使用POST提交，禁止使用GET请求。
2.服务器端防范：一般的做法是在表单里面添加一段隐藏的唯一的token(请求令牌)。