XSS和CSRF都是客户端攻击,利用同源策略,但XSS涉及恶意脚本,CSRF涉及恶意请求,XSS攻击主要针对网页应用中的漏洞,注入恶意脚本代码;而CSRF攻击则利用用户已登录认证的状态下,伪造请求进行非自愿的操作 。
