CSRF(全称 Cross-site request forgery),即跨站请求伪造
用户登录A网站,并生成 Cookie,在不登出的情况下访问危险网站B
① 加 Token 验证,通过判断页面是否带有 Token 来进行验证
② 加 Referer 验证,通过判断页面的来源进行验证
③ 隐藏令牌,即把 Token 隐藏在 http 的 head 头中
XSS(全称 Cross Site Scripting),即跨域脚本攻击
通过合法的操作向页面注入 JS
通过过滤、校正等方式阻止这个 JS 的执行