可否推荐几本书，关于网站攻击和防御的？

Jwt Token在浏览器上一般存储在SessionStorage或Cookie当中，存储在SessionStorage可能会被XSS脚本获取，存储在HTTP-only的Cookie则会因“自动随请求发送”的特性受CSRF攻击。所以此时通过在请求头/uri添加一个CSRF Token来解决CSRF攻击，那这个CSRF Token应该存储在浏览器的哪个位置？CSRF Token不会被XSS获取吗？

ECC加密中，能不能用异或代理加法对明文加密？Q=td，Q是公钥，t是私钥，d是基点，明文m，选择随机数r一般情况： {代码...} 能否改成： {代码...} 使用原有方式不能满足一些特殊要求，能不能使用异或的方式来加解密呢