摘要: 保护网页按钮不被 XSS 自动点击。前端：用跨源 iframe 充当按钮，并且实现 AJXA 发送功能；后端：校验请求 referer 字段是否为 iframe url。阅读全文