CSRF:无法获取受害者的cookie,无法看到cookie;
只是利用受害者是被服务器信任的(靠验证cookie),而给服务器发送请求;
xss:利用cookie只是xss的一种体现,xss还可以篡改网页、URL跳转等等;跨站脚本,脚本可以做什么,xss就可以做什么;
单在利用cookie上来说:获取受害者的cookie,从而得到服务器的信任,进行后续攻击
获取手段是反射、存储、dom