http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html 講的CSRF不錯,簡單易懂
http://www.cnblogs.com/easytools/archive/2012/06/01/2529350.html
講CSRF和XSS區別,簡單一段文字
XSS 全稱“跨站腳本”,是注入攻擊的一種。其特點是不對服務器端造成任何傷害,而是通過一些正常的站內交互途徑,例如發佈評論,提交含有 JavaScript 的內容文本。這時服務器端如果沒有過濾或轉義掉這些腳本,作爲內容發佈到了頁面上,其他用戶訪問這個頁面的時候就會運行這些腳本。
然後,有點小總結 =v=
xss:用戶過於信任網站,任由該網站在本地執行任意代碼。服務端View層或客戶端程序員的鍋
csrf:網站過分信任用戶,放任所有來自”該用戶“的請求來執行特定功能。服務端程序員的鍋