区别一:
CSRF:需要用户先登录网站A,获取 cookie。
XSS:不需要登录。
区别二:(原理的区别)
CSRF:是利用网站A本身的漏洞,去请求网站A的api。
XSS:是向网站 A 注入 JS代码,然后执行 JS 里的代码,篡改网站A的内容。
(1)CSRF相对于XSS漏洞的危害程度更高一些。
(2)XSS有局限性,而CSRF则不。
(3)CSRF相当于是XSS的基础版,CSRF能做到的XSS都可以做到。
(4)XSS主要指向客户端,而CSRF针对服务端。
(5)XSS是利用合法用户获取其信息,而CSRF是伪造成合法用户发起请求。