XSS/CSRF 原理与防护

1. XSS

XSS 是恶意脚本注入网页后在用户浏览器执行的问题。

2. CSRF

CSRF 是利用用户已登录状态伪造请求的问题。

3. 常见防护

• 输入校验与输出转义
• Cookie 策略
• CSRF Token
• SameSite

4. 相关链接

• 前端安全总入口
• 内容安全策略（CSP）