（學習筆記，個人總結，不足之處請多多指導。）

XSS(Cross Site Scripting)：跨站指令碼攻擊

CSRF/XSRF（Cross-site request forgery）：跨站請求偽造

XSS和CSRF有很多相似也有很多不同。相似的是他們都能實現身份盜用（冒充），使用者資訊盜用（盜號）等，都是在攻擊者、網站、受害者（瀏覽器）三個Player間利用HTML的特性（標籤或是指令碼）實現攻擊性行為。不同之處總結如下：

1. 原理不同

XSS攻擊基於HTML注入+社會工程學（欺騙使用者點選執行惡意程式碼）實現攻擊；

CSRF攻擊源於WEB隱式身份驗證機制，在瀏覽網頁（或其他操作）時自動完成；

       這種機制可以驗證請求是使用者瀏覽器發起的，但不能確定這個請求是不是使用者稽核過（知曉）；

2. 發生場景不同

XSS攻擊是User登入某網站，在該網站做其他操作時發生的；

CSRF攻擊是User登入網站A，沒登出的時間段內登入不安全的網站B時發生的；

3. 直接導致攻擊結果的主體不同

XSS攻擊，attacker獲取了使用者的身份資訊後，attacker進行後續操作導致攻擊結果；

CSRF攻擊，attacker在使用者瀏覽不安全網站時主動導致攻擊結果（強迫瀏覽器發起攻擊）。