XSS 利用的是用户对指定网站的信任, CSRF 利用的是网站对用户网页浏览器的信任
XSS: 跨站脚本攻击
原名为 Cross Site Scriptin, 为避免和网页层级样式表概念混淆,
另名为 XSS, 是为跨站脚本攻击, XSS 是一种 web 应用中的计算机安全漏洞,
允许恶意 Web 用户将 JS 代码植入到提供给其他用户的页面中
比如, 在博客文章中嵌入 JS 代码, 在其他用户浏览时执行, 从而做到越权的操作
CSRF:Cross-site request forgery 跨站请求伪造
是一种挟持用户在当前已登录的 Web 应用上执行非本意操作的攻击方式
又称 XSRF, 冒充用户发起请求(在用户不知情的情况下),
完成一些违背用户意愿的请求(如恶意发帖, 删帖, 改密码, 发邮件等).
通常来说, CSRF 跨站请求伪造是由 XSS 实现的, 所以 CSRF 时常也称为 XSRF(用 xss 的方式实现伪造请求)
XSS 偏向于代码实现, CSRF 更偏向于一个攻击结果, 只要发起了冒牌请求那么就是 CSRF
简单来说, 条条大路 (XSS, 命令行) 通罗马(CSRF,XSRF)
来源: http://www.bubuko.com/infodetail-3009760.html