CSRF攻击和XSS攻击

CSRF（Cross-site request forgery）：跨站请求伪造

攻击者盗用了用户的身份，以用户的名义发送恶意请求，包括：以用户的名义发送邮件，发消息，盗取用户账号。

防止措施：

（1）检查报文中的Referer参数，确保请求发送自正确的网站。

（2）对于任何重复的请求，都需要重新验证用户的身份。

（3）创建一个唯一的令牌（Token），将其存在服务端的session中以及客户端的cookie中，对于任何请求都检查二者是否一致。

XSS（Cross Site Scripting）：跨站脚本攻击

通过插入恶意脚本，实现对用户浏览器的控制。

防止措施：

（1）浏览器自身可以识别简单的XSS攻击字符串，从而阻塞简单的XSS攻击。

（2）消除XSS漏洞。

（3）拒绝点击非知名网站的链接。