XSS本质是Html注入,和SQL注入差不多。
1,页面输入框,你写一段sql语句或者url访问,插入进去,让浏览器帮忙带着cookie去跑到自己的建的server上去。。
2,页面输入的脚本X,点save后入库了,比如管理员在页面上load出user输入的数据的时候,脚本X执行了,把管理员的信息通过这段脚本 送给了 攻击人
CSRF
https://blog.tonyseek.com/post/introduce-to-xss-and-csrf/
XSS:城门已破,黑客携带各种武器在城内为所欲为
CSRF:城门未破,黑客仅能借用户的通行令牌进入城内做小偷小摸的事
xss:攻击者盗用用户身份来做事。[盗用身份之后可以做很多事]
csrf:攻击者利用用户的手来做事。[借用户的手来做事,做的事有局限性]
https://www.cnblogs.com/lsj-info/p/9479755.html