一说到安全，咱们总会特别灵敏，尤其是有适当部分的前端开发者并不了解安全相关的常识，颇有闻风丧胆的感觉。详细到前端安全这个论题呢，又有些说不清道不明，由于大部分的防护计划，总少不了后端的参加，也有开发者渐渐觉得如同安全都应该由后端来重视了。

其实不然，最少 XSS CSRF 这一类的安全问题前端是一定要了解它们的原理和防护办法的。从防护办法上来说，XSS 和 CSRF 的防护在业界都有比较老练的计划了。本文将记载一些比较新的防护计划，可能有一些比较老的书本或许文章中不会提及这些办法。

XSS

XSS 全称 Cross Site Scripting ，跨站脚本进犯，由于 CSS 这姓名老早就被样式表拿走了，咱们都在 web 这个范畴，重名又不美观，所以只好起了个姓名叫 XSS 了。说实话从 XSS 干的事来讲，其实并不太了解为什么有个“跨站”在里面，假如一定要强行解说的话，大约是由于有可能会运转一个来自他人网站的脚本，把这个脚本叫“跨站”了吧。

好了，不重要。

重要的是它是谁，它从哪里来，要到哪里去……这样的哲学问题有点难答复。咱们换一个，重要的是它是什么鬼，精干什么，怎样防。

XSS 是什么鬼

玩游戏的人都知道在游戏中经常出现一些奇葩的姓名，比方“星斗并亲了他一口”，看上去一脸不知道什么鬼，可是当他有点事的时分，你就觉得好玩了，比方公会老迈约请他，就会有一条音讯“公会老迈约请了星斗并亲了他一口”，然后一公会的人捧腹大笑。

其实这种事例用专业的术语来说，就叫 XSS 了……

原本“公会老迈约请了XX”这样一个句式，只期望XX是一个不会引起误解的姓名罢了，成果由于有一个奇葩姓名，直接改变了整句话的意思，引介出了意外的意义。

[1] [2] [3] [4] [5] [6]  黑客接单网