CSRF:跨站请求伪造 (cross-site request forgery)
cookie伪造
用户在注册网站登录过 引诱点击(链接自动携带cookie)
防御:
加token验证
referer验证 页面来源 是否来自该站点下的页面
隐藏令牌 (类似于token 放在http请求头中)
XSS:跨域脚本攻击(cross-site scripting)
脚本攻击
不需要任何登录
区别:xss向页面注入js脚本 csrf利用本身的漏洞,需要登录过
XSS攻击原理及防范措施:http://www.imooc.com/learn/812
原文:https://www.cnblogs.com/qinStore/p/14623140.html