：跨站点脚本编制。攻击者向合法的web页面插入恶意的脚本代码，可以盗取cookie中的用户隐私信息

防范方法：在写页面内容之前加encode/避免直接在cookie中直接暴漏用户隐私/尽量采用post提交表单

：跨站点请求伪造。用户访问受信任网站A时碰巧打开恶意网站B，B会获取A网站的用户信息和权限去处理请求。

防范方法：可以在 HTTP 请求中以参数的形式加入一个随机产生的 token，并在服务器端建立一个拦截器来验证这个 token，如果请求中没有 token 或者 token 内容不正确，则认为可能是 CSRF 攻击而拒绝该请求。

劫持：攻击者在其恶意站点的网页中通过<script>标签调用被攻击站点的JSON动态数据接口，通过JS Function Hook等技术获得这些JSON数据。