XSS:攻击者发现XSS漏洞 => 构造代码 => 发送给受害者 => 攻击者获取受害者的cookie => 完成攻击
CSRF:攻击者发现CSRF漏洞 => 构造代码 => 发送给受害者 => 受害人执行代码 => 完成攻击
XSS需要攻击者获取受害者cookie
CSRF是受害者的操作,不用经过JavaScript解析,不需要获取cookie
