Une contrefaçon croisée (XSRF ou CSRF), également connu sous une variété de noms, notamment la contrefaçon de demande croisée, l'équitation de session et les attaques en un clic, est un type difficile d'exploits de sites Web à empêcher.Il fonctionne en incitant un navigateur Web à envoyer des commandes non autorisées à un serveur distant.Les attaques de contrefaçon croisées ne fonctionnent que des utilisateurs qui se sont connectés à des sites Web avec des informations d'identification authentiques;En conséquence, la sortie des sites Web peut être une mesure préventive simple et efficace.Les développeurs Web peuvent utiliser des jetons générés aléatoirement pour aider à prévenir ce type d'attaque, mais devrait éviter de vérifier le référent ou de s'appuyer sur des cookies.

Il est courant que les exploits de contrefaçon croisés ciblent les navigateurs Web dans ce qui est connu comme une «attaque adjointe confuse».Selon ce qui agit au nom de l'utilisateur, le navigateur est trompé pour envoyer des commandes non autorisées à un serveur distant.Ces commandes peuvent être cachées dans des parties apparemment innocentes du code de balisage d'une page Web, ce qui signifie qu'un navigateur essayant de télécharger un fichier image pourrait en fait envoyer des commandes à une banque, un détaillant en ligne ou un site de réseautage social.Certains navigateurs comprennent désormais des mesures conçues pour empêcher les attaques de contrefaçon croisées, et les programmeurs tiers ont créé des extensions ou des plugins qui n'ont pas ces mesures.Il peut également être une bonne idée de désactiver le courrier électronique du langage de balisage hypertexte (HTML) dans votre client préféré, car ces programmes sont également vulnérables aux attaques de contrefaçon croisées.

Étant donné que les attaques de contrefaçon croisées reposent sur des utilisateurs qui se sont légitimement connectés à un site Web.Dans cet esprit, l'une des façons les plus simples d'empêcher une telle attaque est de simplement déconnecter des sites que vous avez fini d'utiliser.De nombreux sites qui traitent des données sensibles, y compris les banques et les sociétés de courtage, le font automatiquement après une certaine période d'inactivité.D'autres sites adoptent l'approche opposée et permettent aux utilisateurs d'être connectés constamment pendant des jours ou des semaines.Bien que vous puissiez trouver cela pratique, cela vous exposent aux attaques CSRF.Recherchez une option «Souvenez-vous de moi sur cet ordinateur» ou «Gardez-moi connecté» et désactivez-le, et assurez-vous de cliquer sur le lien de connexion lorsque vous avez terminé une session.

Pour les développeurs Web, l'élimination des vulnérabilités de contrefaçon croisée peut être une tâche particulièrement difficile.La vérification des informations de référence et de cookie ne fournit pas beaucoup de protection car les exploits CSRF tirent parti des informations d'identification légitimes de l'utilisateur et ces informations sont faciles à parcourir.Une meilleure approche consisterait à générer au hasard un jeton à usage unique à chaque fois qu'un utilisateur se connecte et exige que le jeton soit inclus avec toute demande envoyée par l'utilisateur.Pour des demandes importantes telles que les achats ou les transferts de fonds, obligeant un utilisateur à réintégrer le nom d'utilisateur et le mot de passe peut aider à garantir l'authenticité de la demande.