16.简单说了一下，XSS 和 CSRF 攻击的原理和常用的预防手段。问了CSP

xss 是一种网络脚本攻击，当用户访问时恶意脚本执行，通过篡改页面或窃取用户信息，可以通过用户输入校验外，更重要的是对输出进行编码，避免将用户输入直接输出到页面上，同时可以使用内容安全策略（CSP）等来限制页面可加载的资源和可执行的脚本。

csrf 是跨站请求伪造用户信息来发送请求，当用户访问时会招用户发送大量请求浪费资源，可以使用防抖节流等来限制一定时间内调用接口次数，但是对于 CSRF，防抖节流并不是专门用于防止 CSRF 攻击的措施，主要的防护方法包括使用 CSRF 令牌、验证请求的来源（如 Referer 头）、限制敏感操作的请求方法并在请求中添加验证码等，应该加强对 XSS 和 CSRF 攻击原理和防护措施的系统学习，准确掌握各种安全防护技术。