xss和csrf攻击

xss:跨站脚本攻击(Cross Site Scripting) 。XSS利用站点内的信任用户.恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时
，嵌入其中Web里面的html代码会被执行，从而达到恶意攻击用户的特殊目的。XSS 的根本之道还是过滤用户输入.攻击通过在授权用户访问
的页面中包含链接或者脚本的方式工作

csrf:跨站请求伪造(Cross-site request forgery) 冒充用户在站内的正常操作.
绝大多数网站是通过 cookie 等方式辨识用户身份（包括使用服务器端 Session 的网站，因为 Session ID 也是大多保存在 cookie 里面的
），再予以授权的。所以要伪造用户的正常操作，最好的方法是通过 XSS 或链接欺骗等途径，让用户在本机（即拥有身份 cookie 的浏览器
端）发起用户所不知道的请求。CSRF 并不一定要有站内的输入，因为它并不属于注入攻击，而是请求伪造。被伪造的请求可以是任何来源，
而非一定是站内。所以我们唯有一条路可行，就是过滤请求的处理者。利用cookie信息，浏览器带着cookie信息访问服务器。
1.你登录了一个网站后，打开一个tab页面并访问另外的网站。
2.在session为失效的情况下访问另一个危险的网站，危险的网站自动提交请求或当点击时提交请求。
防范：通过token，但不能100%杜绝csrf攻击了，由于用户的cookie很容易由网站的xss漏洞而被盗取。