csrf的基本概念、缩写、全称
csrf（cross-site request forgery）：跨站请求伪造。 （推荐学习：php视频教程）
ps：中文名一定要记住。英文全称，如果记不住也拉倒。
csrf的攻击原理
用户是网站a的注册用户，且登录进去，于是网站a就给用户下发cookie。
从上图可以看出，要完成一次csrf攻击，受害者必须满足两个必要的条件：
（1）登录受信任网站a，并在本地生成cookie。（如果用户没有登录网站a，那么网站b在诱导的时候，请求网站a的api接口时，会提示你登录）
（2）在不登出a的情况下，访问危险网站b（其实是利用了网站a的漏洞）。
我们在讲csrf时，一定要把上面的两点说清楚。
温馨提示一下，cookie保证了用户可以处于登录状态，但网站b其实拿不到 cookie。
xss的基本概念
xss（cross site scripting）：跨域脚本攻击。
xss的攻击原理
xss攻击的核心原理是：不需要你做任何的登录认证，它会通过合法的操作（比如在url中输入、在评论框中输入），向你的页面注入脚本（可能是js、hmtl代码块等）。
最后导致的结果可能是：
盗用cookie破坏页面的正常结构，插入广告等恶意内容d-doss攻击
csrf 和 xss 的区别
区别一：
csrf：需要用户先登录网站a，获取 cookie。xss：不需要登录。
区别二：（原理的区别）
csrf：是利用网站a本身的漏洞，去请求网站a的api。xss：是向网站 a 注入 js代码，然后执行 js 里的代码，篡改网站a的内容。
以上就是php csrf攻击与xss攻击区别的详细内容。