XSS 跨站脚本攻击 Cross-Site Scripting
比如微博昵称存在XSS漏洞,你把昵称修改为
Jack<script>followme()</script>
别人访问你的微博主页是http://weibo.com/Jack后,上面的脚本自动执行,自动成为你的粉丝。
CSRF 跨站请求伪造 Cross-site request forgery
比如某网站的转账操作是 http://xxx.com/transfer?from=张三&to=李四?moeny=100
张三登录了此网站没有退出,这时登录李四的网站后自动跳转到 http://xxx.com/transfer?from=张三&to=李四?moeny=200 李四多转走了100