XSS：XSS是一種跨站腳本攻擊，可以在用戶提交的數(shù)據(jù)中構(gòu)建代碼執(zhí)行，實(shí)現(xiàn)竊取用戶信息等攻擊。修復(fù)方法：轉(zhuǎn)義字符實(shí)體，使用HTTP Only禁止JavaScript讀取cookie值，對輸入進(jìn)行校驗(yàn)，以及在瀏覽器和Web應(yīng)用端使用相同的字符編碼。

CSRF：CSRF是一種跨站請求偽造攻擊，而XSS是實(shí)現(xiàn)CSRF的眾多手段之一，由于沒有確認(rèn)用戶在執(zhí)行關(guān)鍵操作時(shí)是否自愿發(fā)起。修復(fù)方法：過濾掉需要防止CSRF的頁面，然后嵌入Token，重新輸入密碼，檢查Referer。

XXE：XXE是一種XML外部實(shí)體注入攻擊，可以通過調(diào)用XML中的實(shí)體來請求本地或遠(yuǎn)程內(nèi)容，類似于遠(yuǎn)程文件保護(hù)，會造成相關(guān)的安全問題，如敏感文件讀取。修復(fù)方法：XML解析庫在調(diào)用時(shí)嚴(yán)格禁止解析外部實(shí)體。