CSRF是什么？

CSRF是跨站请求伪造攻击，它不像XSS和SQL注入会盗取用户的信息，它的目的是强制浏览器客户端用户执行攻击者想要用户达成的目的，也就是更改用户状态的请求，如：转移资金和修改密码等操作，它分为get型和post型攻击。

xss攻击是什么？

XSS攻击时一种HTML的注入攻击，它通过在浏览器页面注入恶意代码，并让这段代码成功执行，从而对用户的服务器进行攻击。

下面这段是一段简单的JavaScript代码，它的功能是弹出一个对话框显示用户的cookie信息，如果攻击者将这段代码注入到HTML页面中，当用户访问该页面时，这段代码就会被执行，从而显示用户浏览器的cookie信息

<script>
alert(document.cookie);
</script>

CSRF和XSS有什么区别？

CSRF是跨站请求伪造攻击，XSS是跨站脚本攻击，XSS攻击会窃取用户的信息，而CSRF只更改用户的状态，执行攻击者想达成的操作，不窃取信息；XSS是一种注入攻击，比CSRF攻击特征更加明显，可能会被用户察觉，而CSRF会在用户不知情的情况下进行，用户不会察觉。