CSRF、XSS及XXE有什么區(qū)別和修復方式？

　　CSRF、XSS及XXE有什么區(qū)別和修復方式？xSS是跨站腳本攻擊，用戶提交的數(shù)據(jù)中可以構造代碼來執(zhí)行，從而實現(xiàn)竊取用戶信息等攻擊。

　　修復方式：對字符實體進行轉義、使用HTTPOnly來禁JavaScript讀取Cookie值、輸入時校驗、瀏覽器與Web應用端采用相同的字符編碼。

　　CSRF是跨站請求偽造攻擊，XSS是實現(xiàn)CSRF的諸多手段中的一種，是由于沒有在關鍵操作

　　執(zhí)行時進行是否由用戶自愿發(fā)起的確認。

　　修復方式：篩選出需要防范CSRF的頁面然后嵌入Token、再次輸入密碼、檢驗Referer。

　　XXE是XML外部實體注入攻擊，XML中可以通過調用實體來請求本地或者遠程內容，和遠

　　程文件保護類似，會引發(fā)相關安全問題，例如敏感文件讀取。

　　修復方式：XML解析庫在調用時嚴格禁止對外部實體的解析。