(xss)跨站脚本攻击-(XSRF)跨站请求伪造

#危害：

网络钓鱼，包括窃取用户账号；
窃取用户cookies资料，从而获得用户隐私信息，或利用用户身份进一步对网站执行操作；
劫持用户会话，进行非法转账、强制发表日志、发送电子邮件等；
强制弹出广告、刷流量等；
恶意操作，删除文章等；
…

#XSRF跨站请求伪造

黑客通过劫持会话cookie来接管或冒充受害者的身份。当目标站点仅使用cookie对请求进行身份验证，从而允许黑客窃取或劫持cookie并假冒合法用户时，这是可能的。这种攻击可能导致帐户篡改，数据盗窃，欺诈等。目标包括社交媒体，浏览器内电子邮件客户端，在线银行和网络设备的Web界面以及Web应用程序。

可以增加图片验证/验证码验证/一次性令牌等等

#过滤URL非法SQL字符(可以简单的防止xss攻击)

  var sUrl = location.search.toLowerCase();

  var sQuery = sUrl.substring(sUrl.indexOf("=") + 1);

  re = /select|update|delete|truncate|join|union|exec|insert|drop|count|'|"|;|>|<|%/i;

  if (re.test(sQuery)) {

    alert("请勿输入非法字符");

    location.href = sUrl.replace(sQuery, "");

  }