XSS：

XSS 是跨站脚本攻击，用户提交的数据中可以构造代码来执行，从而实现窃取用户信息 等攻击。

修复方式：对字符实体进行转义、使用 HTTP Only 来禁止 JavaScript 读取 Cookie 值、 输入时校验、输出时采用html 实体编码。

CSRF：

CSRF 是跨站请求伪造攻击，XSS 是实现 CSRF 的诸多手段中的一种，是由于没有在关键 操作执行时进行是否由用户自愿发起的确认。

修复方式：筛选出需要防范 CSRF 的页面然后 嵌入 Token、再次输入密码、检验 Referer

XXE：

XXE 是 XML 外部实体注入攻击，XML 中可以通过调用实体来请求本地或者远程内容， 和远程文件保护类似，会引发相关安全问题，例如敏感文件读取。

修复方式：XML解析库在调用时严格禁止对外部实体的解析。