安全性

• jsonp
• csrf

  - 跨站请求伪造，通过网站b诱使用户去访问已经登录的网站a，冒充用户进行操作
  防御 CSRF 攻击
  - 设置验证码
  - 服务器中验证Referer字段，判断来源是否合法
  - 加Token验证
  

• XSS

  - 跨站脚本攻击，攻击者在网站上注入恶意代码，通过恶意代码对网页进行篡改，对用户浏览器进行控制和获取隐私数据
  - 防范
      - 设置HttpOnly防止劫取Cookie
      - 用户的输入检查，过滤
      - 服务端的输出检查，转义
  

• sql注入

  - 通过SQL命令插入到用户提交的表单或者URL参数，最终达到欺骗服务器执行恶意SQL命令
  - 防范
      - 校验用户输入的内容，对单引号和--等进行转义
      - 最好的办法就是不写拼接SQL，改用参数化SQL
      - 使用有限权限的账户进行数据库连接
  

• dns挟持