前端 常见的安全问题

xss -- 跨站脚本攻击

防御XSS攻击：
（1）输入过滤替换
（2）输出过滤替换
（3）设置httpOnly 锁死 cookie

csrf -- 跨站请求伪造

防御CSRF攻击：
（1）验证 HTTP Referer 字段
（2）在请求地址中添加 token 并验证
（3）在 HTTP 头中自定义属性并验证

文件上传漏洞
（1）检查服务器是否判断了上传文件类型及后缀
（2）定义上传文件类型白名单，即只允许白名单里面类型的文件上传
（3）文件上传目录禁止执行脚本解析，避免攻击者进行二次攻击