XSS和CSRF的区别

XSS

XSS是在网络应用中发现的一个计算机安全漏洞,它使网络犯罪分子能够在用户浏览的网页中注入客户端脚本。网络犯罪分子在访问一个受信任的网站时,使受害者的浏览器执行攻击者注入的脚本(主要是用JavaScript编写的)。网络犯罪分子有几种方法将JavaScript注入受害者信任的网站。它不需要经过验证的会话,当易受攻击的网站没有做基本的验证或转义输入时就可以被利用。

CSRF

跨站请求伪造是最严重的计算机安全漏洞之一,可以通过各种方式加以利用,包括在用户不知情的情况下改变用户的信息,获得对用户账户的完全访问权。网络犯罪分子试图强迫/欺骗你提出一个你不打算提出的请求,利用现有的受害者的环境,如cookies。每次你与网站互动时,其服务器都会检查用户随请求发送的cookie,以便知道是那个用户。

XSS和CSRF之间的区别 –

编号 XSS CSRF
1 XSS是跨站脚本的意思。 CSRF是跨站请求伪造的意思。
2 网络犯罪分子在网站中注入恶意的客户端脚本。该脚本的添加是为了给受害者造成某种形式的漏洞。 恶意攻击是以这样一种方式创建的,即用户在不知道攻击的情况下向目标网站发送恶意请求。
3 在此,通过未验证的数据注入任意数据。 CSRF依赖于浏览器的功能和特点来检索和执行攻击捆绑。
4 执行这种攻击需要JavaScript。 执行这种攻击不需要JavaScript。
5 网站接受了恶意代码。 恶意代码存储在第三方网站。
6 容易受到XSS攻击的网站也容易受到CSRF攻击。 完全免受XSS攻击的网站仍然容易受到CSRF攻击。
7 与之相比,XSS的危害更大。 相比之下,CSRF的危害较小。
8 使用XSS漏洞,攻击者可以做任何他/她想做的事情。 使用CSRF漏洞,攻击者只能做易受攻击的url所做的事情。