feat: safe

interview/安全.md

@@ -46,4 +46,9 @@
          双重Cookie采用以下流程：
             在用户访问网站页面时，向请求域名注入一个Cookie，内容为随机字符串（例如csrfcookie=v8g9e4ksfhw）。
             在前端向后端发起请求时，取出Cookie，并添加到URL的参数中（接上例POST https://www.a.com/comment?csrfcookie=v8g9e4ksfhw）。
-            后端接口验证Cookie中的字段与URL参数中的字段是否一致，不一致则拒绝。
+            后端接口验证Cookie中的字段与URL参数中的字段是否一致，不一致则拒绝。
+
+4. XSS攻击
+   4.1 DOM 型 XSS 攻击利用了前端 Javascript 在浏览器中动态操作 DOM 的特性。DOM 型 XSS 攻击的原理是攻击者通过注入恶意代码或者脚本到网页中的 DOM 元素中，然后通过浏览器执行这些恶意的代码。
+   4.2 反射型 XSS 攻击，指攻击者通过构造恶意的 URL，利用用户的输入参数将恶意的代码注入到目标站点的响应内容中，然后将注入的恶意代码发送给浏览器执行，从而实现攻击。简而言之：就是把用户输入的数据从服务端反射给用户浏览器。
+   4.3 存储型攻击，指攻击者利用它在目标站点上储存的恶意脚本，当用户访问该页面时，恶意脚本被执行。该类攻击在评论区常见。