详情参见API security类 及其子类

cors

跨域请求授权，配置指定合法源，禁止非法源的请求，比如ajax跨域请求

csrf

跨站访问伪造防御，预先使用create()生成token串，然后在后续操作中使用check()对前面的token进行校验，以确定是否为站内合法的页面操作，支持以下校验方式：

• type=0：不做校验
• type=1：前端方式，token存于cookie中，由cookie自动传送到后端进行校验
• type=2：后端方式，token存于session中，在后端自动进行校验，无需前端传送
• type=3：混合方式，token存于session中，需要前端post表单（参见安全配置的key字段）或http头（X-CSRF-TOKEN）手动传送到后端进行校验

xss

跨站脚本攻击防御，对用户提交的数据进行脚本过滤，避免后续在页面上被浏览器执行，从而收集用户隐私信息或执行恶意代码等