我們在使用瀏覽器瀏覽網(wǎng)頁時，客戶端不僅會遭受XSS攻擊，也會受到CSRF、點(diǎn)擊劫持、url跳轉(zhuǎn)的攻擊。

CSRF的全稱是Cross-site request forgery，中文稱為跨站請求偽造，是指利用用戶已登錄的身份，在用戶毫不知情的情況下，以用戶的名義完成的操作。

黑客的攻擊思路是利用用戶已登錄的身份，誘使用戶點(diǎn)擊某網(wǎng)頁，用戶登陸網(wǎng)頁，完成非法操作。

點(diǎn)擊劫持是一種視覺上的欺騙手段。黑客使用一個透明的、不可見的iframe，覆蓋在一個網(wǎng)頁上，然后誘使用戶在該網(wǎng)頁上進(jìn)行操作，此時用戶在毫不知情的情況下點(diǎn)擊透明的iframe頁面。通過調(diào)整iframe頁面的位置，可以誘使用戶恰好點(diǎn)擊在iframe頁面上的功能型按鈕上。

url跳轉(zhuǎn)是指黑客將一個惡意網(wǎng)站的url鏈接和一個可信網(wǎng)站的url鏈接相結(jié)合，引導(dǎo)用戶點(diǎn)擊進(jìn)入惡意網(wǎng)站的操作。

由于用戶很少關(guān)注url鏈接中的參數(shù)，以及對url跳轉(zhuǎn)沒有驗證，所以黑客的伎倆會得逞。