В чем разница между уязвимостями CSRF и XSS?

Разница между уязвимостями CSRF и XSS заключается в характере атак и их последствиях. www.openappsec.io www.dev-notes.ru

CSRF (Cross-Site Request Forgery, «межсайтовая подделка запроса») — вид атак на сайт, при которой злоумышленник с помощью мошеннического сайта или скрипта заставляет браузер пользователя выполнять на доверенном сайте действия от его имени. blog.skillfactory.ru ru.wikipedia.org Например, отправлять сообщения, менять пароли, переводить деньги со счёта на счёт. blog.skillfactory.ru CSRF можно описать как одностороннюю уязвимость: хотя злоумышленник может побудить жертву выполнить HTTP-запрос, он не может получить ответ на этот запрос. www.dev-notes.ru

XSS (Cross-Site Scripting, «межсайтовый скриптинг») — уязвимость в веб-приложениях, которая позволяет злоумышленникам внедрять и исполнять произвольный скрипт (чаще всего JavaScript) в контексте сайта или веб-приложения, просматриваемого законопослушным пользователем. www.securitylab.ru XSS-атаки представляют серьёзную угрозу, поскольку могут привести к краже конфиденциальных данных, подмене содержимого страницы, перенаправлению пользователей на фишинговые сайты и даже к компрометации учётных записей. www.nic.ru

Некоторые другие различия:

• Взаимодействие с пользователем. www.openappsec.io Для XSS-атак не требуется взаимодействие пользователя, кроме посещения заражённого сайта. www.openappsec.io CSRF-атаки обычно требуют от пользователя действий: перехода по вредоносной ссылке или доступа к поддельной странице. www.openappsec.io
• Необходимость активной сессии. www.openappsec.io Для XSS-атак не требуется активная сессия с целевым сайтом, атака может быть успешной независимо от статуса аутентификации пользователя. www.openappsec.io CSRF-атаки требуют, чтобы у пользователя была активная сессия с целевым сайтом. www.openappsec.io
• Доступ к данным. www.openappsec.io CSRF-атаки могут только отправлять HTTP-запросы и не могут просматривать ответ, в то время как XSS может отправлять и получать HTTP-запросы и ответы, что позволяет злоумышленнику извлекать необходимые данные. www.openappsec.io
• Сфера действий. www.openappsec.io CSRF ограничен действиями пользователя на целевом сайте, в то время как XSS может выполнять произвольные скрипты, расширяя сферу потенциальных действий злоумышленника в браузере пользователя. www.openappsec.io