跨站请求伪造通常缩写为CSRF或者XSRF，是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。CSRF利用的是网站对用户网页浏览器的信任。

xss防御措施：1、不要在允许位置插入不可信数据；2、在向HTML元素内容插入不可信数据前对HTML解码；3、在向HTML常见属性插入不可信数据前进行属性解码；4、在向HTML URL属性插入不可信数据前进行URL解码。

跨站脚本攻击xss的三大类型：1、持久型跨站；2、非持久型跨站；3、DOM跨站。持久型跨站是最直接的危害类型，跨站代码存储在服务器；非持久型跨站是反射型跨站脚本漏洞，这是最普遍的类型。

跨站脚本攻击也称为XSS，是指利用网站漏洞从用户那里恶意盗取信息。跨站脚本攻击分为三类，分别是：1、持久型跨站；2、非持久型跨站；3、DOM跨站。其中，持久型跨站是最直接的危害类型。

web服务器安全：XSS分为三类，分别是：1、反射型XSS；2、存储型XSS；3、DOM XSS。XSS的防御措施：1、过滤转义输入输出；2、避免使用eval、new Function等执行字符串的方法。

XSS攻击的原理是：攻击者向有XSS漏洞的网站中输入恶意的HTML代码，当其它用户浏览该网站的时候，该段HTML代码会自动执行，从而达到攻击的目的，如盗取用户的Cookie、破坏页面结构、重定向到其它网站等。