XSSとCSRFの違い早わかり - たぬきん貧乏日記 〜No Worry, No Hurry. Eat Curry!〜

http://d.hatena.ne.jp/ockeghem/20071203 あー・・・・・ええと。うん。それ違うから。 私思うに、XSSとCSRFの決定的な違いは、以下の点ではないだろうか。 XSSは攻撃スクリプトがブラウザ上で動くが、CSRFはサーバー上で動く その表現は非常にまずい。まず「攻撃スクリプト」が混同されている。 少なくともサーバ上で「攻撃スクリプト」が動作するのはもう CSRF ではない。CSRF の場合，脆弱ではあっても悪意はない本来のスクリプトが記述された通りの「正常な」動作をしているにすぎないからだ。 第二に，CSRF でも悪意のスクリプトがブラウザ上で動作するパターンがある。というより記事内で例示されている CSRF ではブラウザ上で罠サイトに設置された攻撃スクリプトであるところの JavaScript が動作しているものだ。アプリケーションにポストする内容の話

[kitone]

違いは脆弱性の種類．XSSではサニタイジング，CSRFではセッション管理に不備があると．

[cubed-l]

機能の悪用・セッション管理の不備→設計時に生ずる脆弱性

[mi1kman]

概ね同意だが，セッション管理というよりは画面遷移かな？＞「CSRF はそれとは別に『セッション管理の不備』が加わる。」