XSS跨站请求攻击 场景: XSS预防 替换特殊字符,如< 变成 < ; >变成 > ; <script>变成 & ltscript >;直接显示,而不会作为脚本执行 前端要做替换,后端也要做替换,双重保证。 CSRF跨站请求伪造 场景: CSRF预防 使用post接口 增加验证,如密码,短信验证码,指纹等