CSRF、XSS及XXE有什么區(qū)別和修復(fù)方式？xSS是跨站腳本攻擊，用戶提交的數(shù)據(jù)中可以構(gòu)造代碼來執(zhí)行，從而實(shí)現(xiàn)竊取用戶信息等攻擊。

　　修復(fù)方式：對(duì)字符實(shí)體進(jìn)行轉(zhuǎn)義、使用HTTPOnly來禁JavaScript讀取Cookie值、輸入時(shí)校驗(yàn)、瀏覽器與Web應(yīng)用端采用相同的字符編碼。

　　CSRF是跨站請(qǐng)求偽造攻擊，XSS是實(shí)現(xiàn)CSRF的諸多手段中的一種，是由于沒有在關(guān)鍵操作

　　執(zhí)行時(shí)進(jìn)行是否由用戶自愿發(fā)起的確認(rèn)。

　　修復(fù)方式：篩選出需要防范CSRF的頁面然后嵌入Token、再次輸入密碼、檢驗(yàn)Referer。

　　XXE是XML外部實(shí)體注入攻擊，XML中可以通過調(diào)用實(shí)體來請(qǐng)求本地或者遠(yuǎn)程內(nèi)容，和遠(yuǎn)

　　程文件保護(hù)類似，會(huì)引發(fā)相關(guān)安全問題，例如敏感文件讀取。

　　修復(fù)方式：XML解析庫在調(diào)用時(shí)嚴(yán)格禁止對(duì)外部實(shí)體的解析。