xss公司(xss)和csrf公司(csrf)的区别

XSS代表跨站点脚本。跨站点脚本是一种安全攻击，恶意黑客将脚本插入到动态表单中。它现在被认为是网站中最常见的安全漏洞。在XSS中，黑客将恶意客户端脚本注入网站。添加此脚本是为了对受害者造成某种形式的漏洞。...

关键区别：XSS和CSRF是两种类型的计算机安全漏洞。XSS代表跨站点脚本。CSRF代表跨站点请求伪造。在XSS中，黑客利用用户对某个网站的信任。另一方面，在CSRF中，黑客利用了网站对某个用户浏览器的信任。

XSS代表跨站点脚本。跨站点脚本是一种安全攻击，恶意黑客将脚本**到动态表单中。它现在被认为是网站中最常见的安全漏洞。在XSS中，黑客将恶意客户端脚本注入网站。添加此脚本是为了对受害者造成某种形式的漏洞。

攻击者或黑客为此目的使用JavaScript、VBScript、ActiveX、HTML或Flash。一旦攻击成功，黑客可以在许多方面造成伤害。例如，攻击者可能劫持帐户，甚至更改用户的设置。XSS的一个常见示例是使用恶意链接来实现该目的。将创建一个包含隐藏恶意代码的链接，并要求用户单击该链接。如果用户单击它，恶意代码就会在客户端的web浏览器上执行。

跨站点脚本攻击大致可分为两种类型-

持久性–在这种类型的漏洞中，恶意数据永久存储在数据库中，然后由受害者在不知情的情况下访问和运行。
非持久性–在这种类型的漏洞中，恶意黑客提供的数据在该特定实例上使用，没有任何延迟。

CSRF代表跨站点请求伪造。它也被称为一键攻击或会话骑。它利用了目标网站对用户的信任。恶意攻击的设计方式是，用户在不知道攻击的情况下向目标网站发送恶意请求。攻击者可以利用CSRF执行许多任务，例如，一些内容可以发布到留言板，股票可以交易，甚至可以邮寄电子卡。执行CSRF攻击最常见的方法之一是使用HTML图像标记或JavaScript图像对象。

这种漏洞不仅限于浏览器。恶意脚本也可以通过word文档、Flash文件、电影等进行。CSRF的一些重要功能包括-

受害者不必登录，因为这取决于攻击者的意图。
攻击者可以向目标站点生成多个请求。
它对其他类型的攻击非常有效。
通常，攻击者无法读取来自被攻击站点的数据，这是对CSRF的限制。

XSS与CSRF的比较：

	XSS公司	CSRF公司
完整形式	跨站点脚本	跨站点请求伪造
定义	在XSS中，黑客在网站中注入恶意客户端脚本。添加此脚本是为了对受害者造成某种形式的漏洞。	它利用了目标网站对用户的信任。恶意攻击的设计方式是，用户在不知道攻击的情况下向目标网站发送恶意请求。
附属国	通过未经验证的数据注入任意数据	在浏览器的功能和特性上检索和执行攻击包
JavaScript需求	是的	不
条件	网站接受恶意代码	恶意代码位于第三方网站上
脆弱性	易受XSS攻击的站点也易受CSRF攻击	完全不受XSS类型攻击的站点仍然很可能容易受到CSRF攻击。