XSS(Cross-site scripting,跨站脚本),恶意用户利用网站漏洞,将代码注入到网页上,其他用户在访问网页时就会受到影响 或 泄露cookies。
CSRF(Cross-site scripting,跨站请求伪造),冒充用户发起请求,完成一些违背用户意愿的请求,如 恶意发帖,转账,修改密码。
两者名字相似,但存在本质区别:
XSS目的是泄露用户身份(如cookies),而CSRF是冒充用户身份发起恶意请求。
而两者经常抱团出现,只是因为通过XSS可以实现CSRF攻击,是其中一种实现方式。
