xss-跨站脚本攻击,核心是利用表单的输入没有进行过滤,向数据库写入js代码或iframe链接,然后相应的代码会被目标站点的页面解析执行。例如文章评论提交时没有做过滤时,提交后会显示出来,显示的时侯玫击代码就会执行,代码中可获取当前用户的cookie,然后发送给攻击者。服务端可以通过输出一个http only=false的头来限制客户端js读取cookie
csrf-跨站伪造请求,核心是以正常方式登录目标网站,然后向目标站点提交非法请求。例如正常登录后会,目标站点的代码逻辑会通过/userinfo/notice?uid=1的链接来获取当前用户的通知(uid代表当前用户的id),攻击者获取该链接后把uid换成其它,然后直接通过浏览器或其它站点来提交,如果服务器端没有检查请求来源是不是站内的或者没有比对传入的uid是否是当前登录用户的id的话,则可以获取到其它用户的通知。