CSRF&XSS

         CSRF（Cross-site request forgery跨站请求伪造，也被称成为“one click attack”或者session riding，通常缩写为CSRF或者XSRF)，通过伪装目标网站的受信任用户请求实现攻击的一种安全威胁。

        例如，目标网站为某论坛A，攻击者在A的用户X博客留言，其中含有到网站B的链接，当X点击该链接就可以实现CSRF攻击。哈哈，是不是在想怎么攻击的？ 差什么呢？非常关键的一点，B链接的页面包含提交到A的表单或其他通信行为。了解一点浏览器知识的，应该知道，此处还必须有A网站的session，所以 又叫session riding. 有空可以自己伪造下，原理很简单，关键是要有与网站A的信任用户通信的途径、保证可共享session。

        XSS又叫CSS (Cross Site Script) ，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意 攻击用户的特殊目的。XSS属于被动式的攻击，因为其被动且不好利用，所以许多人常忽略其危害性。

        攻击Yahoo Mail 的Yamanner 蠕虫是一个著名的XSS 攻击实例。Yahoo Mail 系统有一个漏洞，当用户在web 上察看信件时，有可能执行到信件内的javascript 代码。病毒可以利用这个漏洞使被攻击用户运行病毒的script。同时Yahoo Mail 系统使用了Ajax技术，这样病毒的script 可以很容易的向Yahoo Mail 系统发起ajax 请求，从而得到用户的地址簿，并发送病毒给他人。 看上去两者很像，都是伪造交互获取或更改服务器信息，不同在什么呢？达到目的的策略不同，就这么点区别。
        参考资料：百度百科