SQL注入绝对是最严重但也是最好处理的一种安全漏洞。在数据库执行查询句时，如果将恶意用户给出的参数直接拼接在查询句上，就有可能发生。

解决方法：也很简单，只要通过参数化查询来避免直接将参数与查询句拼接，并进行适当的输入检查、插入转义字符、严格设定程序权限，就能够有效避免 SQL 注入了。

XSS（跨站攻击）也叫JavaScript 注入，是现代网站最频繁出现的问题之一，它指的是网站被恶意用户植入了其他代码，通常发生在网站将用户输入的内容直接放到网站内容时。例如论坛、留言板等可以输入任意文字的网站，恶意用户如果写入一小段 <script>，并且前、后端都没有针对输入内容做字符转换和过滤处理，直接把用户输入的字串作为页面内容的话，就有可能遭到 XSS。

常见的 XSS 有几个类型：将恶意代码写入数据库，当数据被读取出来时就会执行的储存型XSS；将用户输入的内容直接带回页面上的反射型XSS；以及利用 DOM 的特性，各种花式执行恶意代码的DOM-based型XSS。

解决方法：避免 XSS 的方法其实也很简单，只要在数据输入输出时做好字符转换，使恶意代码不被执行，而是被解析成字符就可以了。

CSRF（跨站请求伪造）是一种利用 Cookie 及 Session 认证机制进行攻击的手段；由于 Session 认证的其实不是用户本人，而是浏览器，那么只要通过网页DOM 元素可以跨域的机制，对已经得到认证的网站发出请求，就可以假冒用户，从而拿到敏感信息。

攻击方式可以与前面所说的 XSS 是相辅相成，例如在没有防范 XSS 的论坛网站中植入 <img/>，那么其 src 属性就应该是获取敏感信息的 API URL。

解决方法主要有以下几种：

3.SameSite Cookie：在 Cookie 中加上 SameSite 属性，确保 Cookie 仅能在自己的网站使用。

JSON 劫持是利用现代网站前后端通过 API 进行数据交换的特性，只要能获得使用者权限，并调用获取资料的 API，再加上改写原生的 JavaScript 对象，就可以窃取用户的敏感信息。

获得权限的部分于 CSRF 相同，通过 <script> 可以跨域的特性直接使用浏览器用户的 Cookie；攻击者只需要在网页上通过 <script> 调用获取数据的 API 完成对数据的窃取。