XSS攻击：跨站脚本攻击，是一种代码注入攻击。攻击者把可执行的恶意脚本注入搭配页面中，使之在用户的浏览器上运行，从而盗取用户的信息如 cookie 等。

解决方案：1. 对需要插入到 HTML 中的代码做好充分的转义；2.使用 CSP，建立一个白名单，告诉浏览器哪些外部资源可以加载和执行，从而防止恶意代码的注入攻击

CSRF攻击：跨站请求伪造攻击，攻击者诱导用户进入一个第三方网站，然后该网站向被攻击网站发送跨站请求，如果用户在被攻击网站中保存了登录状态，那么攻击者就可以利用这个登录状态，绕过后台的用户验证，冒充用户向服务器执行一些操作。比如攻击者可以通过在输入留言框内输入可发送请求的代码，留言放到网站上，这样每个人进入这个网站的时候都会执行这行代码并发送携带自己的cookie账号密码等关键信息的请求，这样攻击者就能拿到用户的信息伪造拿去登录了

解决方案：1.同源检测，2.使用 CSRF Token 进行验证，3.限制 cookie 不能作为被第三方使用