摘要：最近学习web安全问题总结如下： 一、跨站脚本攻击（xss） 向web页面插入恶意代码，主要为涉及到用户输入的地方。 永远不要相信用户的输入。需要做检测（比如特殊字符显示时进行转义）。 二、跨站点请求伪造（CSRF） 伪造连接请求，在用户不知道的情况下一用户的身份发送请求。 注意点：用token或者 阅读全文