XSS攻击全称跨站脚本攻击,一般有sql注入，js脚本注入。评论类型模块的提交过程中不要相信客户的输入内容，需要进行转义。同理也不要百分百相信服务端发来的展示内容，同样需要转义。csrf跨站请求伪造，冒充正确用户登录做一些操作。请求需要鉴权，比如携带token，或者利用seesion，cookie来鉴权。敏感信息提交可以使用验证码

@rocky-191

csrf 例子： 小明登录银行网站，没有退出，打开了危险网站，危险网站偷偷请求银行接口，伪造是小明在请求。
这里跨域了不是就带不过去 cookie？ 难道说一般的 csrf 都是和 xss 一起，其实是在银行网站上打开了输入的危险链接？？？

xss 输入+脚本
csrf 偷信息伪造请求

跨站点请求伪造（Cross-site request forgery）

任何带输入框的都要做好验证，永远不要相信用户

@rocky-191

csrf 例子： 小明登录银行网站，没有退出，打开了危险网站，危险网站偷偷请求银行接口，伪造是小明在请求。
这里跨域了不是就带不过去 cookie？ 难道说一般的 csrf 都是和 xss 一起，其实是在银行网站上打开了输入的危险链接？？？

跨域也是可以发送请求的，不存在带不过去 cookie。而且同源策略是浏览器才有的，可以使用其他方式发送伪造请求，比如node.js

XSS攻击全称跨站脚本攻击,一般有sql注入，js脚本注入。评论类型模块的提交过程中不要相信客户的输入内容，需要进行转义。同理也不要百分百相信服务端发来的展示内容，同样需要转义。csrf跨站请求伪造，冒充正确用户登录做一些操作。请求需要鉴权，比如携带token，或者利用seesion，cookie来鉴权。敏感信息提交可以使用验证码

前端安全涉及到多个方面，其中包括防范 XSS（跨站脚本攻击）和 CSRF（跨站请求伪造）等攻击。以下是对 XSS 和 CSRF 的简要理解：

XSS（跨站脚本攻击）：

XSS 是一种攻击，攻击者通过注入恶意脚本（通常是 JavaScript）到网页中，然后让用户的浏览器执行这些脚本。攻击的目标是获取用户的敏感信息、劫持用户会话或者其他恶意行为。

类型：

1. 存储型（Stored XSS）：

   • 攻击者将恶意脚本存储在服务器上，用户访问页面时加载并执行。

2. 反射型（Reflected XSS）：

   • 攻击者构造一个包含恶意脚本的 URL，用户点击包含恶意脚本的链接时执行。

3. DOM 型（DOM-based XSS）：

   • 攻击者通过修改页面的 DOM 结构来执行恶意脚本。

防御措施：

• 输入验证和过滤：对用户输入进行验证和过滤，确保不允许注入恶意脚本。
• 输出编码：在输出到页面时，对用户提供的数据进行适当的编码，防止脚本执行。

CSRF（跨站请求伪造）：

CSRF 是一种攻击，攻击者通过欺骗用户在已经登录的站点上执行一些操作，利用用户的身份来伪造请求，以执行未经授权的操作。

防御措施：

• CSRF Token：为每个用户生成一个唯一的令牌，该令牌在用户进行敏感操作时需要一同提交，服务器验证令牌的有效性。
• SameSite Cookie 属性：限制第三方站点对用户 Cookie 的访问，可以减少 CSRF 的攻击面。
• 使用 POST 请求：GET 请求更容易受到 CSRF 攻击，因此在执行敏感操作时应该使用 POST 请求。

综合来说，前端安全是一个广泛而复杂的主题，需要开发者在设计和实现应用时采取一系列的安全措施，以保护用户和系统的安全。

chart GPT 3.5