XSS 利用的是用户对指定网站的信任，CSRF 利用的是网站对用户网页浏览器的信任

XSS: 跨站脚本攻击

原名为Cross Site Scriptin,为避免和网页层级样式表概念混淆,

另名为XSS,是为跨站脚本攻击,XSS是一种web应用中的计算机安全漏洞,

允许恶意web用户将JS代码植入到提供给其他用户的页面中

比如,在博客文章中嵌入JS代码,在其他用户浏览时执行,从而做到越权的操作

CSRF:Cross-site request forgery 跨站请求伪造

是一种挟持用户在当前已登录的web应用上执行非本意操作的攻击方式

又称XSRF，冒充用户发起请求（在用户不知情的情况下）,

完成一些违背用户意愿的请求（如恶意发帖，删帖，改密码，发邮件等）。

通常来说,CSRF跨站请求伪造是由XSS实现的,所以CSRF时常也称为XSRF(用xss的方式实现伪造请求)

XSS偏向于代码实现,CSRF更偏向于一个攻击结果,只要发起了冒牌请求那么就是CSRF

简单来说,条条大路(XSS,命令行)通罗马(CSRF,XSRF)