这两个是web应用中常见的web攻击形式。
xss:cross-site script,指的是在网页上植入恶意代码的攻击。常见的比如sql注入,来盗取用户cookie信息;
csrf:cross-site-request-forgery,指的是伪造用户的身份发起请求。那么这个需要具备两个条件,假设用于正在访问网站A,那么条件一就是用户此时打开了网站A且建立了cookie信息;条件二是用户同时打开了攻击者的网站B。此时B会引诱用户点击一个A的链接,当然是隐藏的,这是这个链接就会以用户的身份即cookie来访问A。
可以说,xss是一种csrf的攻击方式,叫做xsrf。当然csrf还有其他形式。
http://www.freebuf.com/articles/web/39234.html