xss

xss 和 csrf - 图1

cstf

xss 和 csrf - 图2

区别

  • xss: 用户过分信任网站,放任来自网站代码在自己本地任意执行。
    • 如果没有浏览器的安全机制限制,xss 注入的代码可以在用户浏览器为所欲为
  • csrf: 网站过分信任用户,放任来自所谓合法用户的请求执行网站的某个特定功能