1、xss跨站腳本攻擊
xss跨站腳本攻擊主要是用戶通過輸入或者其他的方式，注入一段js代碼，而頁面在沒有任何防御措施的條件下去執(zhí)行這段js代碼，導(dǎo)致頁面崩潰或者服務(wù)器崩塌或者竊取一些cookie等隱藏信息等行為。

xss的防范手段：
（1）、通過encode手段加密敏感信息，比如就是將一些有特殊意義的字符串進行替換，這樣前端傳給后端的就只是一堆字符串而不是可以運行的js，可以保證運行安全；
（2）、對于富文本的信息，可以通過xss-filter.js，設(shè)置一個白名單，進行過濾之后，再把信息傳給后端

2、CSRF跨站請求偽造
CSRF跨站請求偽造，主要的場景就是，用戶進入釣魚網(wǎng)站，通過釣魚網(wǎng)站不慎輸入自己的敏感信息，網(wǎng)站拿到用戶的敏感信息之后模擬去另外一個網(wǎng)站進行操作
為了防止釣魚網(wǎng)站利用用戶的敏感信息去進行操作，我們可以做以下防范：
（1）、提交 method=Post 判斷referer
HTTP請求中有一個referer的報文頭，用來指明當(dāng)前流量的來源參考頁。如果我們用post就可以將頁面的referer帶入，從而進行判斷請求的來源是不是安全的網(wǎng)站。但是referer在本地起的服務(wù)中是沒有的，直接請求頁面也不會有。這就是為什么我們要用Post請求方式。直接請求頁面，因為post請求是肯定會帶入referer，但get有可能不會帶referer。
（2）、利用Token
Token簡單來說就是由后端生成的一個唯一的登陸態(tài)，并傳給前端保存在前端，每次前端請求時都會攜帶著Token，后端會先去解析這個Token，看看是不是后臺給我們的，已經(jīng)是否登陸超時，如果校驗通過了，才會同意接口請求