Μια πλαστογράφηση διασταυρούμενης τοποθεσίας (XSRF ή CSRF), γνωστό επίσης με μια ποικιλία ονομάτων, συμπεριλαμβανομένων πλαστογραφίας αιτήματος διασταυρούμενης θέσης, ιππασίας και επίθεσης με ένα κλικ, είναι ένας δύσκολος τύπος ιστότοπου που εκμεταλλεύεται για να αποφευχθεί.Λειτουργεί με την εξαπατώντας ένα πρόγραμμα περιήγησης ιστού στην αποστολή μη εξουσιοδοτημένων εντολών σε έναν απομακρυσμένο διακομιστή.Οι επιθέσεις πλαστογραφίας διασταυρώσεων εργάζονται μόνο εναντίον χρηστών που έχουν συνδεθεί σε ιστότοπους με αυθεντικά διαπιστευτήρια.Ως αποτέλεσμα, η καταγραφή των ιστότοπων μπορεί να είναι ένα απλό και αποτελεσματικό προληπτικό μέτρο.Οι προγραμματιστές ιστού μπορούν να χρησιμοποιήσουν τυχαία παραγόμενες μάρκες για να αποτρέψουν αυτό το είδος επίθεσης, αλλά θα πρέπει να αποφεύγουν τον έλεγχο του παραπομπού ή να βασίζονται σε cookies.

Είναι συνηθισμένο για τα cross-site πλαστογραφίας που εκμεταλλεύεται να στοχεύει τα προγράμματα περιήγησης ιστού σε αυτό που είναι γνωστό ως "μπερδεμένος αναπληρωτής επίθεση".Πιστεύοντας ότι ενεργεί για λογαριασμό του χρήστη, το πρόγραμμα περιήγησης εξαπατάται στην αποστολή μη εξουσιοδοτημένων εντολών σε έναν απομακρυσμένο διακομιστή.Αυτές οι εντολές μπορούν να κρυφτούν μέσα σε φαινομενικά αθώες μερίδες του κώδικα σήμανσης μιας ιστοσελίδας, πράγμα που σημαίνει ότι ένα πρόγραμμα περιήγησης που προσπαθεί να κατεβάσει ένα αρχείο εικόνας μπορεί στην πραγματικότητα να στέλνει εντολές σε τράπεζα, ηλεκτρονικό λιανοπωλητή ή ιστότοπο κοινωνικής δικτύωσης.Ορισμένα προγράμματα περιήγησης περιλαμβάνουν τώρα μέτρα που έχουν σχεδιαστεί για να αποτρέψουν τις επιθέσεις πλαστογραφίας διασταυρούμενης τοποθεσίας και οι προγραμματιστές τρίτων έχουν δημιουργήσει επεκτάσεις ή plugins που δεν διαθέτουν αυτά τα μέτρα.Μπορεί επίσης να είναι καλή ιδέα να απενεργοποιήσετε το ηλεκτρονικό ταχυδρομείο HyperText Markup (HTML) στον προτιμώμενο πελάτη σας, επειδή αυτά τα προγράμματα είναι επίσης ευάλωτα σε επιθέσεις πλαστογραφίας διασταυρούμενης θέσης.

Δεδομένου ότι οι επιθέσεις πλαστογραφίας διασταυρώσεων βασίζονται σε χρήστες που έχουν συνδεθεί νόμιμα σε έναν ιστότοπο.Έχοντας αυτό κατά νου, ένας από τους ευκολότερους τρόπους για να αποφευχθεί μια τέτοια επίθεση είναι απλά να αποσυνδεθείτε από ιστότοπους που ολοκληρώνετε χρησιμοποιώντας.Πολλοί ιστότοποι που ασχολούνται με ευαίσθητα δεδομένα, συμπεριλαμβανομένων των τραπεζών και των χρηματιστηριακών εταιρειών, το κάνουν αυτόματα μετά από μια συγκεκριμένη περίοδο αδράνειας.Άλλοι ιστότοποι υιοθετούν την αντίθετη προσέγγιση και επιτρέπουν στους χρήστες να συνδεθούν επίμονα για ημέρες ή εβδομάδες.Παρόλο που μπορεί να βρείτε αυτό το βολικό, σας εκθέτει σε επιθέσεις CSRF.Αναζητήστε μια επιλογή "Θυμηθείτε σε αυτόν τον υπολογιστή" ή "Keep Me Condged" και απενεργοποιήστε το και φροντίστε να κάνετε κλικ στο σύνδεσμο Απόκρισης όταν έχετε ολοκληρώσει μια συνεδρία.

Για τους προγραμματιστές ιστού, η εξάλειψη των τρωτών σημείων πλαστογραφίας μπορεί να είναι ένα ιδιαίτερα δύσκολο έργο.Ο έλεγχος των πληροφοριών παραπομπής και cookie δεν παρέχει μεγάλη προστασία, επειδή τα εκμεταλλεύματα CSRF εκμεταλλεύονται τα νόμιμα διαπιστευτήρια χρήστη και αυτές οι πληροφορίες είναι εύκολο να παραμορφωθούν.Μια καλύτερη προσέγγιση θα ήταν να δημιουργηθεί τυχαία ένα διακριτικό μονής χρήσης κάθε φορά που συνδέεται με τον χρήστη και να απαιτήσει να συμπεριληφθεί το διακριτικό με οποιοδήποτε αίτημα που αποστέλλεται από τον χρήστη.Για σημαντικά αιτήματα όπως αγορές ή μεταφορές χρηματοδότησης, απαιτώντας από έναν χρήστη να επανενταχθεί το όνομα χρήστη και τον κωδικό πρόσβασης μπορεί να βοηθήσει στην εξασφάλιση της αυθεντικότητας του αιτήματος.