最后的那个靠服务器表单验证来解决。但那个不属于XSS，XSS和CSRF主要窃取别人的Session用户身份执行一些动作，自己打开F12只能用自己的Session身份，称不上XSS和CSRF。
【 在 LeBronWade 的大作中提到: 】
: 跨站攻击的事件里至少有三个角色：黑客/黑客程序，普通用户，我们写的网站服务器。
: “黑客程序”劫持“普通用户”的浏览器，在浏览器(URL、Form等)里输入一些非法数
: 据，访问“我们写的网站服务器”，从而非法获取“普通用户”的数据、破坏“普通用
: ...................
--
修改:dhcn FROM 123.66.180.*
FROM 123.66.180.*