XSS:Cross-Site Scripting
主要是页面注入js 代码, 前后端没有过滤,导致输出到页面的信息含有注入的js代码,就给攻击阵无限可能
CSRF: cross-site request forgery
