一、通常使用XSS脚本来获取浏览器版本信息，alert(navigator.userAgnet )  ，浏览器的UserAgent是可以伪造的，比方火狐或者很多扩展都可以屏蔽或者自定义浏览器发送的UserAgent ,所以通过javaScript获取的浏览器对象有时候不一定时真的。但是浏览器之间的实现存在很大的差异，不同的浏览器之间会实现不同的功能，不同版本之间也会有差异，可以根据这个差别来区分浏览器的信息，比单方面读取 userAgent信息更加的准确。 [出自:jiwo.org]

什么是HttpOnly ，HttpOnly最初是由微软提出的，并开始在IE6中使用，现在已经在各大浏览器中成为一个标准，  浏览器将禁止页面的JavaScript 访问带有HttpOnly属性的Cookie值。一个cookie的使用过程大致如下：

   第一步： 浏览器向服务器发起请求，这个时候没有产生Cookie值

   第二步：服务器返回时发送Set-Cookie ,并向客户端浏览器写入Cookie

   第三步：周该Cookie到期之前，浏览器访问该域下的所有页面，都将发送该Cookie。*

而HttpOnly设置在 Set-cookie标记。 我们可以同时设置多个Cookie值，对不同的Cookie。

 是不是加了 HttpOnly就读不出Cookie了不是这样的，我们还是可以通过其他的方法来，只要能力强，什么都可绕。安全是一个不断进阶的过程。添加了 HttpOnly不意味着完全可以避免XSS

二、 在防范XSS或者常见的SQl Injection漏洞的时候使用输入检查或者输出检查。

    输入检查的逻辑必须放在服务器端中实现，如果单单在客户端使用JS进行输入检查很容易被绕过，在开发过程中同时在客户端和服务端使用输入检查，客户端进行输入检查可以阻挡大部分的误操作，减少服务器的压力。

 XSS的本质是I一种“HTML注入” 用户的数据被当成了HTML代码一部分来执行，从而混淆了原本的语义，产生了一种新的语义。

三、跨站请求伪造 （CSRF）  Cross Site Request Forgery

       浏览器的Cookie分成两种类型。

    第一种 ： Session Cookie 称为临时的Cookie  ，保存在浏览器进程的内存空间。

    第二种：  third-Part-cookie 又称为本地Cookie  ，保存在本地。

这两种Cookie的区别是 Session Cookie么有指定Expire时间，浏览器关闭之后Session Cookie会自动失效。  Third-Part-Cookie是服务器在Set-Cookie的时候指定了Expire时间，只有当Expire时间过期后Cookie才会失效。