xss
xss(cross-site scripting,简称xss)跨站脚本攻击是一种迫使web站点回显可执行代码的攻击技术,而这些可执行代码由攻击者提供,被终端用户浏览器所加载执行。XSS的主要目的是获取客户端的Cookie或者其他网站用户识别客户端身份的敏感信息。获取到合法用户的信息后,攻击者可以假冒最终用户与网站进行交互。
xss漏洞的成因是由于动态页面的web应用对用户提交参数未作充分的检查过滤,允许用户在提交的数据中插入HTML代码,然后未加编码输出到用户的浏览器,这些恶意的提交代码会被受害用户的浏览器解释执行。
csrf
csrf(cross-site-request-forgery)跨站请求伪造。简单讲就是从A网站发起一个到B网站的请求,而这个请求是经过了伪装的,伪装操作达到的目的就是让请求看起来像是从网站B中发起的,也就是说让B网站所在的服务器误以为该请求是从自己网站发起的,而不是A网站发起的。