XSS

XSS (Cross Site Scripting)跨站脚本攻击,是页面被注入了恶意的代码,后端 RD 应该在所有用户提交数据的接口,对敏感字符进行转义。

CSRF

CSRF全称(Cross-Site Request Forgeries)跨站请求伪造。指攻击者冒充用户发起请求(在用户不知情的情况下),完成一些违背用户意愿的事情。

解决方法:

  1. 使用token
  2. referer验证
  3. 验证码

References

https://tech.meituan.com/2018/09/27/fe-security.html

https://juejin.cn/post/6844903942036389895#heading-9