对于多数应用,登录后会得到更多的权限,尤其是认证之后,所以最直接的想法是能否利用身份以及当前会话的漏洞来进行攻击利用

# CSRF 请求伪造

一般来说相对于XSS来说,CSRF危害相对少一些,因为一般是针对特定用户来伪造用户的请求,但是从防御来说一般是更困难