关于前端的XSS攻击：

　　这里有一篇Ryf老师的写的关于使用  Content Security Policy （简称 CSP 防御）来防御xss攻击，简单来说就是设置白名单，告诉浏览器哪些链接、内容是可以加载的

　　有两种方式：

　　一、通过 HTTP 头信息的Content-Security-Policy的字段

　　二、通过meta 标签设置

　　<meta http-equiv="Content-Security-Policy" content="script-src 'self'; object-src 'none'; "/>
　　
　　如果请求的资源不是设置的content，浏览器会自动拒绝访问

详细的使用说明，可以看一下原文

　　http://www.ruanyifeng.com/blog/2016/09/csp.html

关于项目中遇到的短信轰炸漏洞问题：

　　在网上搜寻的许久、无非给出几种解决方案：

　　（1）增加图形验证
　　（2）单IP请求次数限制
　　（3）限制号码发送

　　增加图片验证，虽然可以防止恶意抓包，但在移动端的交互体验上会很不友好；IP请求限制目前鉴于平台无法控制，放弃此方案；目前折中的做法就是服务器端做频次控制