CSRF 跨站请求伪造
攻击原理: 网站中某一个接口存在漏洞 (利用本身漏洞执行接口)
这个用户在那个注册网站确实登录过 (依赖)
防御原理: Token验证 //访问后 服务器向本地储存一个Token
Referer验证 //页面来源验证,检查是否为本站点下面
隐藏令牌 //类似Token 比如隐藏在http header上 不是url上
XSS 跨域脚本攻击
攻击原理 :不需要任何登录验证,页面注入脚本,页面合法渠道注入js代码
比如评论发表点击按钮
防御措施: 插入的js不执行
他俩的区别: