Чем CSRF отличается от XSS? Какие защиты от каждой и почему «использовать JWT вместо cookie» — не всегда правильное решение CSRF?