xss和csrf的区别

xss和csrf

xss跨站脚本攻击，指攻击者在网页上注入恶意的客户端代码，通过恶意脚本对客户端网页进行篡改，从而在用户浏览网页时， 对客户端浏览器进行控制或获取用户隐私数据的方式

防范：httpOnly防止截取cookie、用户输入检查、用户输出检查、利用CSP（浏览器的内容安全策略）

csrf跨站请求伪造，劫持受信任用户向服务器发送非预期请求的方式。

防范：验证码、referer check、增加token验证