CSRF:無法獲取受害者的cookie,無法看到cookie;
只是利用受害者是被服務器信任的(靠驗證cookie),而給服務器發送請求;
xss:利用cookie只是xss的一種體現,xss還可以篡改網頁、URL跳轉等等;跨站腳本,腳本可以做什么,xss就可以做什么;
單在利用cookie上來說:獲取受害者的cookie,從而得到服務器的信任,進行后續攻擊
獲取手段是反射、存儲、dom