前端安全

XSS

XSS（Cross-site-scripting)跨站脚本攻击，安全原因：浏览器错误的执行了攻击者输入的Js脚本。

防御：对用户的输入进行转义处理，如输入<script>，可以编码为<script>避免了浏览器的执行。 这一点上，现在的框架普遍都对此有合适的处理。

CSRF

CSRF（Cross-Site-Request-Forgery）跨站请求伪造，安全原因：网站中的一些提交行为，被黑客利用，你在访问黑客的网站的时候，进行的操作，会被操作到其他网站上(如：你所使用的网络银行的网站)。

攻击者利用被攻击者的浏览器环境，通过隐藏的方式，进行一些跨站请求，来达到自己的目的。

防御：该使用POST的，不使用GET去做。对一些提交的请求，使用验证码、token等进行安全限制。

防钓鱼

有的黑客会伪造域名以及页面来达到钓鱼的目的。

防御：对点开不可控的外链，离开本站时进行用户提醒。