XSS 與 CSRF 有什么區別

xss：跨站腳本攻擊、誘騙用戶點擊惡意鏈接盜取用戶cookie進行攻擊、不需要用戶進行登錄、xss除了利用cookie還可以篡改網頁等

csrf：跨站請求偽造、無法獲取用戶的cookie而是直接冒充用戶、需要用戶登錄后進行操作

首先我們要對xss和csrf進行足夠的了解才能分清楚兩者的區別。

xss：中文名稱跨站腳本攻擊，通常出現在搜索框、留言板、評論區等地方

分類：反射性、存儲型、DOM型

攻擊方式：構造惡意鏈接，誘騙用戶點擊盜取用戶的cookie信息

漏洞危害：xss蠕蟲、會話、流量劫持、網站掛馬、盜取cookie

防護方法：設置黑名單和白名單、對用戶輸入進行過濾、入參字符過濾、出參字符轉義、設置httponly

csrf漏洞：中文名稱跨站請求偽造，攻擊者冒充用戶身份執行用戶操作

檢測漏洞：抓取一個請求包，去掉referer字段進行訪問，如果訪問有效則存在漏洞

危害：盜用用戶身份、執行用戶操作，修改信息

防護方法：

1、設置referer字段；但是并不是所有服務器在任何時候都可以接受referer字段，所以這個方法存在一定的局限性

2、設置驗證碼；在用戶操作的過程中設置身份確認的驗證碼，該方法會很有用，不過驗證碼頻繁的話會影響用戶體驗

3、設置token值，在用戶請求中設置一個隨機沒有規律的token值可以有效的防止攻擊者利用漏洞攻擊

從上我們可以總結出：

xss：跨站腳本攻擊、誘騙用戶點擊惡意鏈接盜取用戶cookie進行攻擊、不需要用戶進行登錄、xss除了利用cookie還可以篡改網頁等

csrf：跨站請求偽造、無法獲取用戶的cookie而是直接冒充用戶、需要用戶登錄后進行操作

回答所涉及的環境：聯想天逸510S、Windows 10。