我們在使用瀏覽器瀏覽網頁時，客戶端不僅會遭受XSS攻擊，也會受到CSRF、點擊劫持、url跳轉的攻擊。

CSRF的全稱是Cross-site request forgery，中文稱為跨站請求偽造，是指利用用戶已登錄的身份，在用戶毫不知情的情況下，以用戶的名義完成的操作。

黑客的攻擊思路是利用用戶已登錄的身份，誘使用戶點擊某網頁，用戶登陸網頁，完成非法操作。

點擊劫持是一種視覺上的欺騙手段。黑客使用一個透明的、不可見的iframe，覆蓋在一個網頁上，然后誘使用戶在該網頁上進行操作，此時用戶在毫不知情的情況下點擊透明的iframe頁面。通過調整iframe頁面的位置，可以誘使用戶恰好點擊在iframe頁面上的功能型按鈕上。

url跳轉是指黑客將一個惡意網站的url鏈接和一個可信網站的url鏈接相結合，引導用戶點擊進入惡意網站的操作。

由于用戶很少關注url鏈接中的參數(shù)，以及對url跳轉沒有驗證，所以黑客的伎倆會得逞。