我上网查了查他们，前两者我始终有点弄不明白。难道他们的区别就是在于 xss 利用了js，而 csrf 没有利用js吗？？
那么跨域大带宽服务器ajax跟他们的联系又是什么？？跨域ajax属于xss的一种吗？

请牛人指教。
为何首页不显示呢...

http://www.cnblogs.com/dowinning/archive/2012/04/19/json-jsonp-jquery.html

跨域ajax是，源网站向跨域网站申请资源，跨域网站允许
csrf是，源网站向跨域网站提交东西，跨域网站不允许
xss是，源网站自己执行脚本（本地或远端），源网站自己不允许

loli.lu 的作者你好...谢谢你的回答 only。

建议看《白帽子讲Web安全》

挖，豆瓣评分很高。

XSS 是利用漏洞在客户端执行 JavaScript 代码，可以做任何事情
CSRF 是利用漏洞在客户端提交 HTTP 请求，可以是 GET/POST 等等都行，但是不能执行攻击脚本
以上两者都是网络攻击手段
跨域 Ajax 是客户端和服务器端进行通讯的一种正常技术