CSRF：

基本概念和缩写：CSRF通常称为跨站请求伪造，Cross-site request forgery

攻击原理：

要完成一次CSRF攻击，受害者必须依次完成两个步骤：

　　1.登录受信任网站A，并在本地生成Cookie。

　　2.在不登出A的情况下，访问危险网站B。

防御措施：

    1、Token验证

    2、Referer验证（Referer指页面来源）

    3、隐藏令牌

 

XSS：跨站脚本攻击

原理：XSS漏洞的产生原因是Web应用未对用户提交请求的数据做充分的检查过滤，允许用户在提交的数据中掺入HTML代码(最主要的是“>”、“<”)，并将未经转义的恶意代码输出到第三方用户的浏览器解释执行。

 

 

XSS和CSRF区别：XSS是向你页面注入JS去运行，在JS函数体里去做想做的事情，而CSRF是利用本身的漏洞去帮你自动执行那些接口，CSRF依赖于登录网站