讲一下Web 安全：XSSCSRF 的攻击面与前端侧防护。

[问答题]

讲一下Web 安全：XSS/CSRF 的攻击面与前端侧防护。

秋木苏76

XSS主要是恶意代码注入。CSRF主要是跨站网络请求伪造，借用用户登陆的cookie记录的token。 XSS主要是要在代码中尽量减少使用v-html，对要输入的内容进行过滤和转义，对cookie设置http-only。 CSRF防护：将SameSite属性设置为Strict或Lax(目前是许多浏览器的默认值)。这会禁止浏览器在跨站请求中携带 Cookie。使用 Anti-CSRF Token。

发表于 2026-03-13 16:07:14 回复(0)

已转码的钝角很开心

XSS跨站脚本攻击，是攻击者将恶意脚本注入你的网站，在用户浏览器上执行 CSRF（跨站请求伪造）是引诱已登录的用户，在他们不知情的情况下，以他们的名义向你的网站发送恶意请求

发表于 2026-02-22 14:47:00 回复(0)

WangYibo

XSS跨站脚本攻击，是攻击者将恶意脚本注入到你的网站，在用户浏览器上执行; CSRF (跨站请求伪造)是引诱已登陆的用户，在他们不知情的情况下，以他们的名义向你的网站发送恶意请求。

发表于 2026-01-19 17:17:42 回复(0)

DRZv

一、XSS - 攻击面：注入恶意脚本，窃取Cookie、伪造操作（通过输入/URL参数注入）； - 防护：输入过滤+输出编码（用textContent）、开启CSP、Cookie设HttpOnly/SameSite。二、CSRF - 攻击面：利用用户登录态，伪造合法请求（如转账、改密码）； - 防护：请求加CSRF Token、校验Referer/Origin、Cookie设SameSite。

发表于 2025-11-03 06:54:26 回复(0)