XSS,CSRF防范 也是慢慢更

xss攻击两种 reflected  和stored

如xss能够获取用户的cookie 

<script>alert(document.cookie)</script>

csrf能够跨站请求修改删除用户信息

防护措施：

    1.通常的XSS脚本

    2.安全函数 如php的 htmlspecialchars  stripslashes

            htmlspecialchars 转义&，‘，",<,>

    CSRF防护

        1.referer验证，但不可靠能够伪造

        2.设置token

 $csrf = md5(uniqid(rand(), TRUE));

 $_SESSION['csrf'] = $csrf;//防刷机制第二弹~~~~~~~~