前言

关于 Web 安全，我们最早听到最多的就是 SQL 注入。例如用户在系统登录界面输入用户名和密码，提交以后，后端直接拿到数据就拼接 SQL 语句去查询数据库。如果在输入时进行了恶意的 SQL 拼装，那么最后生成的 SQL 就有问题，黑客就可以从数据库中拖出关键信息。

我们可以通过在后端用 PDO 扩展的方式访问数据库和对用户输入数据进行多重验证的方式来避免 SQL 注入。

而现在前端我们遇到的 web 安全问题比较典型的有 XSS 攻击和 CSRF 攻击这两种。本次主要来说说对于这两种攻击，先解释其实现原理还有我们都有哪些方法可以来应对。