http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html 讲的CSRF不错,简单易懂
http://www.cnblogs.com/easytools/archive/2012/06/01/2529350.html
讲CSRF和XSS区别,简单一段文字
XSS 全称“跨站脚本”,是注入攻击的一种。其特点是不对服务器端造成任何伤害,而是通过一些正常的站内交互途径,例如发布评论,提交含有 JavaScript 的内容文本。这时服务器端如果没有过滤或转义掉这些脚本,作为内容发布到了页面上,其他用户访问这个页面的时候就会运行这些脚本。
然后,有点小总结 =v=
xss:用户过于信任网站,任由该网站在本地执行任意代码。服务端View层或客户端程序员的锅
csrf:网站过分信任用户,放任所有来自”该用户“的请求来执行特定功能。服务端程序员的锅