安全大面

1、CSRF 和 XSS 和 XXE 有什么区别，以及修复方式？

 1）XSS跨站点脚本攻击

 XSS是跨站脚本攻击，用户提交的数据中可以构造代码来执行，从而实现窃取用户信息等攻击。

 修复方式：对字符实体进行转义、使用HTTP Only来禁止JavaScript读取Cookie值、输入时校验、浏览器与Web应用端采用相同的字符编码。

 2）CSRF跨站请求伪造攻击

 CSRF是跨站请求伪造攻击，XSS是实现CSRF的诸多手段中的一种，是由于没有在关键操作执行时进行是否由用户自愿发起的确认。

 修复方式：筛选出需要防范CSRF的页面然后嵌入Token、再次输入密码、检验Referer 

 3）XXE攻击

 XXE是XML外部实体注入攻击，XML中可以通过调用实体来请求本地或者远程内容，和远程文件保护类似，会引发相关安全问题，例如敏感文件读取。

 修复方式：XML解析库在调用时严格禁止对外部实体的解析。

2、CSRF、SSRF和重放攻击有什么区别？

CSRF是跨站请求伪造攻击，由客户端发起 

SSRF是服务器端请求伪造，由服务器发起 

重放攻击是将截获的数据包进行重放，达到身份认证等目的