XSS和CSRF区别？

XSS原理：

根本我个人理解XSS又叫CSS(Cross-SiteScripting跨站脚本攻击)为了不和css层叠样式表混淆，所以改成了XSS。XSS是将恶意的代码插入到html页面中，当用户浏览页面时，插入的html代码会被执行，从而达到最终目的。

XSS分为三种：

反射型：这种反射型一般存在链接中，请求链接时，代码经过服务器端就会反射回来。

存储型：一般在留言板、搜索框里会遇到，直接插入到留言板中当用户每次访问时都会反射这种称为存储型。

DOM型：是一种发生在客户端文档对象模型中的跨站漏洞。

XSS和csrf的区别：XSS发生在客户端,CSRF发生在服务端。

以上三种漏洞会造成：身份盗用，钓鱼欺骗、垃圾信息发送等；

XSS：修复方式和SQL注入修复方式相同，建议查看历史文章。

CSRF：根据我的理解，CSRF是跨站请求伪造(Cross-siterequestforgery)大家可能认为和XSS漏洞相似容易混淆，其实和XSS区别还是很大的，与XSS攻击相比，CSRF攻击不流行（所以防范的资源也稀少）和难以防范，所以被称为比XSS更具危险性。同样这也是XSS和CSRF区别之一。

以下是我总结的常见区别：

(1)CSRF比XSS漏洞危害更高。

(2)CSRF可以做到的事情，XSS都可以做到。

(3)XSS有局限性，而CSRF没有局限性。

(4)XSS针对客户端，而CSRF针对服务端。

(5)XSS是利用合法用户获取其信息，而CSRF是伪造成合法用户发起请求。

本文由小龙1028原创作品，欢迎转载

cffsec团队不仅是学习的源泉，更是大家技术分享的平台，同样也是你们的另一个学习家园，希望大家多多关注，也可以提出自己宝贵的意见。

 扫描二维码关注公众号@cffsec安全团队