En forfalskning på tværs af stedet (XSRF eller CSRF), også kendt af en række navne, herunder anmodning om forfalskning på tværs af, session ridning og et-klik-angreb, er en vanskelig type webstedudnyttelse at forhindre.Det fungerer ved at narre en webbrowser til at sende uautoriserede kommandoer til en fjernserver.Forfalskningsangreb på tværs af steder fungerer kun mod brugere, der har logget ind på websteder med autentiske legitimationsoplysninger;Som et resultat kan logning af websteder være en enkel og effektiv forebyggende foranstaltning.Webudviklere kan bruge tilfældigt genereret tokens til at hjælpe med at forhindre denne type angreb, men bør undgå at kontrollere henviseren eller stole på cookies.

Det er almindeligt, at forfalskningsudnyttelser på tværs af stedet til at målrette webbrowsere i det, der er kendt som et "forvirret stedfortræder."Ved at tro på at handle på brugerens vegne bliver browseren narret til at sende uautoriserede kommandoer til en fjernserver.Disse kommandoer kan være skjult inde i tilsyneladende uskyldige dele af en webside's markeringskode, hvilket betyder, at en browser, der prøver at downloade en billedfil, faktisk kan sende kommandoer til en bank, onlineforhandler eller socialt netværk.Nogle browsere inkluderer nu foranstaltninger, der er designet til at forhindre forfalskningsangreb på tværs af stedet, og tredjepartsprogrammerere har oprettet udvidelser eller plugins, der mangler disse foranstaltninger.Det kan også være en god ide at slukke for hypertekst-markeringssprog (HTML) e-mail i din foretrukne klient, fordi disse programmer også er sårbare over for forfalskningsangreb på tværs af stedet.

Siden forfalskningsangreb på tværs er afhængige af brugere, der legitimt har logget ind på et websted.Med det i tankerne er en af de nemmeste måder at forhindre et sådant angreb på blot at logge ud af websteder, som du er færdig med at bruge.Mange steder, der beskæftiger sig med følsomme data, herunder banker og mæglervirksomheder, gør dette automatisk efter en bestemt periode med inaktivitet.Andre websteder tager den modsatte tilgang og giver brugerne mulighed for at blive vedvarende logget ind i dage eller uger.Selvom du måske finder dette praktisk, udsætter det dig for CSRF -angreb.Se efter en "Husk mig på denne computer" eller "Hold Me Logged In" mulighed og deaktiver den, og sørg for at klikke på Log Out -linket, når du har afsluttet en session.

For webudviklere kan det være en særlig udfordrende opgave at eliminere sårbarheder på tværs på stedet.Kontrol af henvisnings- og cookieoplysninger giver ikke meget beskyttelse, fordi CSRF -udnyttelser drager fordel af legitime brugeroplysninger, og disse oplysninger er let at forfalde.En bedre tilgang ville være at tilfældigt generere et engangs-token, hver gang en bruger logger ind, og kræver, at tokenet inkluderes i enhver anmodning, der sendes af brugeren.For vigtige anmodninger som køb eller fondsoverførsler, kan det hjælpe en bruger til at genindføre brugernavn og adgangskode med at sikre autenticiteten af anmodningen.