3.请说明什么是XSS攻击？什么是CSRF攻击？分别怎么防御这类攻击。

XSS攻击（跨站脚本攻击）是指攻击者通过注入恶意脚本到正常的网页中，使得用户在浏览网页时执行这些恶意脚本，从而达到攻击的目的。XSS攻击通常可以通过在表单、URL参数等用户输入的数据中注入恶意脚本实现。

防御XSS攻击的方法包括：

1. 对用户输入的数据进行过滤和转义，将特殊字符转换为HTML实体，比如<转换为&lt;，从而避免浏览器将其识别为HTML标签。
2. 在页面中设置 Content-Security-Policy（CSP），限制页面的资源加载和执行，从而防止恶意脚本的执行。
3. 使用HTTP-only Cookie，限制cookie只能通过HTTP协议传输，防止恶意脚本获取cookie信息。

CSRF攻击（跨站请求伪造攻击）是指攻击者通过伪造用户请求，向Web应用程序发送恶意请求，从而达到攻击的目的。CSRF攻击通常可以通过在正常的网站中插入恶意链接或者图片实现。

防御CSRF攻击的方法包括：

1. 使用Token验证，即在页面中生成一段随机数（Token），并将其存储在服务器端和客户端的cookie中，在向服务器发送请求时，将Token一并发送，服务器端进行验证，只有Token验证通过才能处理请求。
2. 检查Referer头，即检查请求来源是否合法，只处理来自合法来源的请求。
3. 使用验证码，要求用户在提交表单时输入验证码，从而提高安全性。

相关问题

72.什么是XSS攻击，如何避免？ 73.什么是CSFR攻击，如何避免？ 74.throw和throws的区别？ 75.final,finally,finalize有什么区别？

72. XSS攻击是一种跨站脚本攻击，攻击者通过在网页中注入恶意脚本代码，使得用户在浏览网页时受到攻击。为了避免XSS攻击，可以采取以下措施：对用户输入进行过滤和转义、使用HTTPOnly属性限制Cookie的访问、使用CSP（Content Security Policy）限制页面内容的来源、对敏感操作进行二次验证等。

73. CSRF攻击是一种跨站请求伪造攻击，攻击者利用用户已登录的身份，在用户不知情的情况下发起一些恶意请求，从而达到攻击的目的。为了避免CSRF攻击，可以采取以下措施：在表单中使用CSRF Token验证、检测Referer头、设置SameSite Cookie属性等。

74. throw和throws的区别在于，throw是一个语句，用于抛出一个异常；而throws是一个关键字，用于声明一个方法可能会抛出的异常类型，用于告知调用者需要处理这些异常。

75. final是一个修饰符，可以用来修饰类、方法、变量，表示其不可被继承、重写或修改。finally是一个关键字，用于定义一个代码块，无论是否发生异常都会执行。finalize是一个方法，用于在垃圾回收器回收对象之前进行一些清理工作。

sql注入 xss攻击和csrf攻击的区别

SQL注入、XSS（跨站脚本攻击）和CSRF（跨站请求伪造）是三种常见的网络安全威胁，它们针对的应用场景和攻击机制有所不同。

1. SQL注入：
- **定义**：攻击者通过在输入字段中插入恶意SQL代码，欺骗应用程序执行非授权的数据库查询，可能获取敏感信息或修改数据。
- **目标**：主要影响Web应用程序后端数据库，试图访问或操控存储在服务器的数据。
- **示例**：尝试在登录表单中输入"\' OR '1'='1"，可能导致所有用户登录。

2. XSS攻击：
- **定义**：攻击者在网站上植入恶意脚本，当用户访问含有这些脚本的页面时，脚本会在用户的浏览器上执行，可能窃取用户信息或控制用户的会话。
- **目标**：影响用户浏览器，操纵前端显示内容，或利用用户的行为进行攻击。
- **示例**：在网页中添加未过滤的用户评论，评论中包含HTML代码，如`<img src="malicious.com">`，可能导致恶意图片加载或跟踪。

3. CSRF攻击：
- **定义**：攻击者通过伪装成合法用户，利用受害者已经登录的身份，发送请求到受信任的网站执行未经授权的操作，如转账、修改设置等。
- **目标**：利用用户的已认证状态，进行无需用户干预的恶意操作。
- **示例**：网站提供一个“一键购买”功能，如果一个恶意网站包含一个隐藏的表单，填充了受害者账户信息并指向该功能，用户无意点击后可能会完成购买。

相关问题：
1. 如何防止SQL注入攻击？
2. XSS攻击通常如何防御？
3. CSRF攻击如何通过令牌机制来防范？