我們?cè)谑褂脼g覽器瀏覽網(wǎng)頁(yè)時(shí)，客戶端不僅會(huì)遭受XSS攻擊，也會(huì)受到CSRF、點(diǎn)擊劫持、url跳轉(zhuǎn)的攻擊。

CSRF的全稱是Cross-site request forgery，中文稱為跨站請(qǐng)求偽造，是指利用用戶已登錄的身份，在用戶毫不知情的情況下，以用戶的名義完成的操作。

黑客的攻擊思路是利用用戶已登錄的身份，誘使用戶點(diǎn)擊某網(wǎng)頁(yè)，用戶登陸網(wǎng)頁(yè)，完成非法操作。

點(diǎn)擊劫持是一種視覺(jué)上的欺騙手段。黑客使用一個(gè)透明的、不可見(jiàn)的iframe，覆蓋在一個(gè)網(wǎng)頁(yè)上，然后誘使用戶在該網(wǎng)頁(yè)上進(jìn)行操作，此時(shí)用戶在毫不知情的情況下點(diǎn)擊透明的iframe頁(yè)面。通過(guò)調(diào)整iframe頁(yè)面的位置，可以誘使用戶恰好點(diǎn)擊在iframe頁(yè)面上的功能型按鈕上。

url跳轉(zhuǎn)是指黑客將一個(gè)惡意網(wǎng)站的url鏈接和一個(gè)可信網(wǎng)站的url鏈接相結(jié)合，引導(dǎo)用戶點(diǎn)擊進(jìn)入惡意網(wǎng)站的操作。

由于用戶很少關(guān)注url鏈接中的參數(shù)，以及對(duì)url跳轉(zhuǎn)沒(méi)有驗(yàn)證，所以黑客的伎倆會(huì)得逞。