xss与csrf

最常见的两种攻击方式，对此种攻击的防范应该做为安全的基本常识

xss跨站脚本攻击

当一个页面可以显示用户提交的内容时，如果用户在内容中添加了可执行代码，如果后台没有进行处理，则当有其他的用户访问该页面时，会自动执行用户自己添加的代码。

一般在模板层都会对此类可执行代码进行转义。

csrf跨站请求伪造

在用户登录一个网站A后，如果未关闭网站B，但是网站B在页面内通过脚本发起了一个网站A的请求，那么网站A会自动携带cookie信息，向后台发起请求。如果未经过后台未进行csrf校验，那么这个请求会被认为是一个合法的请求。

主要问题是因为浏览的cookie机制。

校验策略：

1. 校验refer字段。（但是爬虫可以仿造）

2. 对敏感信息的访问使用token进行校验