区别一:CSRF需要用户先登录网站A,获取cookie,XSS不需要登录。 区别二:CSRF是利用网站A本身的漏洞,去请求网站A的api,XSS是向网站A注入js代码,然后执行js里的代码,篡改网站A的内容。