XSS와 CSRF의 차이

◎ XSS(Cross-Site Scripting)

- 공격대상이 홈페이지 사용자(client)

- 서버에는 영향을 주지않지만, 사이트가 변조될 위험이 있다.

- 게시판 등에 악성 스크립트를 삽입하여 홈페이지 사용자(client) 측에 오작동을 일으킨다

ex) 쿠키, 세션 탈취 등

◎ CSRF(Cross-Site Request Forgery)

- 공격대상이 서버

- 사용자의 요청을 변조하여 해당 사용자의 권한으로 공격을 수행

- 사용자의 의도와는 다르게 공격자의 의도한 행위(수정/삭제)를 특정 사이트에 요청하는 공격

- 불특정 다수가 피해를 입을 수 있다

ex) 권한 도용