XSS es un ataque que obliga a un sitio web, mediante la inyeccion comunmente de html/javascript ofuscado o no, a mostrar o ejecutar codigo malicioso en el navegador de los usuarios que lo visiten, NO en el server. El server solo es vector o conducto para atacar al usuario, es decir al browser. Una vez controlado el navegador de la victima el atacante puede hacer muchas cosas. Un ejemplo seria mandar por mail al usuario un url del tipo http://www.google.com/url?q=http://1.2.3.4/signin.ebay.com/members_Log-in.htm que puede venir parcialmente codificado en hexadecimal de tal modo que parezca remitir a un sitio legitimo, le da click y se ejecuta js en su browser para robo de datos de sesion de la victima que se mandan sin su conocimiento al server del atacante. Con esa informacion este ultimo puede entrar a la cuenta de la victima, hacer cosas  en su lugar o robar mas info.

CSRF
Es un ataque en el que se hacen alteraciones a las peticiones que se hacen desde un sitio a otro, por ejemplo a traves de iframes ------>

<iframe src=https://tu_banco_seguro.com></iframe>

Estas autenticado en tu_banco_seguro.com y visitas una pagina con codigo como el de arriba. Asumiendo que tu navegador entiende y procesa el tag IFRAME, no solo mostrara el sitio web tu banco seguro, sino que tambien enviara tus cookies.
Que pasaria si el atacante logra montarse en tu sesion y realizar un ataque CSRF contra tu banco seguro?
--------->

<iframe src=https://tu_banco_seguro.com/transferfunds.asp?amnt=100&acct=cuentaatacante></iframe>

El codigo de arriba intentaria que el usuario, o sea tu, hicieras algo en beneficio del atacante: mandar 100 dolares a su cuenta :D
Espero haber ayudado.

Un saludo.