Web安全是指保护Web应用程序和网络服务免受未经授权的访问、使用、泄露、破坏、干扰或修改的一系列措施。其中关于XSS与 CSRF的攻击是较为常见的模式，下面我们就来分别探讨一下二者的应对预防方案。

    XSS攻击是使用JavaScript脚本注入进行攻击，因为浏览器默认支持脚本语言执行。攻击者可以通过在表单提交时，提交一些脚本参数，使浏览器直接执行攻击代码，从而盗取用户的敏感信息。

    XSS攻击预防措施：

    对用户输入进行严格的检测和限制，只接受一定长度范围内、采用适当格式及编码的字符，阻塞、过滤或者忽略其它的任何字符。在输出用户数据之前，对数据进行清理和转义处理。使用HTTP-only Cookie，防止攻击者通过JavaScript获取Cookie信息。

   CSRF攻击是攻击者采用伪造的http请求，CSRF攻击也AG网址AG95.CC遇到的常见类型是包括会话cookie/refer/token/自动填充的身份信息等，发送给webserver，让webserver认为是合法用户数据。这种漏洞通常发生在身份验证不足的情况下。

   CSRF攻击预防措施：

  对所有来自非信任源的跨站请求进行验证。使用随机生成的token，并在客户端和服务器端进行保存和验证。对用户的敏感操作设置验证码或者二次确认3。