CSRF、 XSS 和 XXE 三者有什么區別

CSRF、XSS和XXE三者的區別如下：

• XSS：XSS是跨站腳本攻擊，用戶提交的數據中可以構造代碼來執行，從而實現竊取用戶信息等攻擊。修復方式：對字符實體進行轉義、使用HTTP Only來禁止JavaScript讀取Cookie值、輸入時校驗、瀏覽器與Web應用端采用相同的字符編碼。

• CSRF：CSRF是跨站請求偽造攻擊，XSS是實現CSRF的諸多手段中的一種，是由于沒有在關鍵操作執行時進行是否由用戶自愿發起的確認。修復方式：篩選出需要防范CSRF的頁面然后嵌入Token、再次輸入密碼、檢驗Referer.

• XXE：XXE是XML外部實體注入攻擊，XML中可以通過調用實體來請求本地或者遠程內容，和遠程文件保護類似，會引發相關安全問題，例如敏感文件讀取。修復方式：XML解析庫在調用時嚴格禁止對外部實體的解析。

回答所涉及的環境：聯想天逸510S、Windows 10。