csrf

这两个也是我个人在面试时候经常被问到的（前端较多，有的公司要你前后端都做的或者需要你对这些有所了解的也会问到你），不得不说这些东西在日常业务开发中还真是比较少机会遇到，但是也要考虑到才算周全。 什么是XSS？？ 首先XSS攻击是Cross Site Scripting （跨站脚本）的变形缩写，为啥不缩写成CSS呢，因为那就会跟修饰页面的Cascading style sheets （层叠样式表CSS）搞混了，所有学过HTML的人都必学的CSS，内外联标签配上它，就可以调长宽高，设置大小，弄得漂亮。 为什么叫跨站？XSS攻击会有什么危害？ 这个就是字面意思，就是心怀不轨的故意写植入代码的人在远程的机器上的web页面的HTML代码中插入恶意代码，植入成功后，所有浏览这个页面的人，都会受到这段恶意代码的影响；简单点的恶作剧，就alert弹出一些无聊的提示框，修改一些URL的链接去一些不健康的网站，伪造擅改一些页面信息等。性质恶劣一点的，就是把自己隐藏起来，在你输入账号密码等重要信息的时候通过标签拿到偷偷发一份到远端的一个接口或者网站做处理。 XSS攻击有哪几种？ XSS攻击有三种：反射型XSS；存储型XSS；dom型XSS。 1.反射型（非持久性XSS攻击）： 为什么叫反射型，就是像扔球一样，别人把球抹上点屎（带XSS的脏URL），你一开始没看清楚（被诱导着点了链接），拿起来扔出去