xss -- 跨站脚本攻击
防御XSS攻击:(1)输入过滤替换(2)输出过滤替换(3)设置httpOnly 锁死 cookie
csrf -- 跨站请求伪造
防御CSRF攻击:(1)验证 HTTP Referer 字段(2)在请求地址中添加 token 并验证(3)在 HTTP 头中自定义属性并验证
文件上传漏洞(1)检查服务器是否判断了上传文件类型及后缀(2)定义上传文件类型白名单,即只允许白名单里面类型的文件上传(3)文件上传目录禁止执行脚本解析,避免攻击者进行二次攻击