diff --git a/渗透方向面试题.md b/渗透方向面试题.md
new file mode 100644
index 0000000..9687819
--- /dev/null
+++ b/渗透方向面试题.md
@@ -0,0 +1,13 @@
+# Web安全、渗透方向面试题
+
+### 1、CSRF和XSS和XXE 有什么区别，以及修复方式？
+
+- XSS：跨站脚本攻击，用户提交的数据中可以构造恶意代码，并且执行，从而实现窃取用户信息等攻击。
+
+  修复方式：
+
+  1. 对实体字符进行转义
+  2. 使用HTTP Only来禁止JavaScript读取cookie值
+  3. 输入时校验、浏览器与Web应用端采用相同的字符编码
+
+- CSRF：跨站请求伪造攻击
\ No newline at end of file