A helyszíni hamisítvány (XSRF vagy CSRF), amelyet különféle nevek is ismertek, beleértve a helyek közötti kéréseket, a munkamenet-lovaglást és az egy-kattintási támadást, a weboldal nehéz típusa, amelyet kiaknáznak.Úgy működik, hogy becsapja egy böngészőt, hogy jogosulatlan parancsokat küldjön egy távoli szerverre.A helyszíni hamisítási támadások csak azok ellen működnek, akik autentikus hitelesítő adatokkal jelentkeztek be a webhelyekre;Ennek eredményeként a webhelyekről való bejelentkezés egyszerű és hatékony megelőző intézkedés lehet.A webfejlesztők véletlenszerűen generált tokeneket használhatnak az ilyen típusú támadások megelőzésére, de kerülniük kell a hivatkozó ellenőrzését vagy a sütikre támaszkodást.

Általános, hogy a helyszíni hamisítások kizsákmányolása a webböngészők megcélzása az úgynevezett „zavaros támadás helyettese”.Úgy gondolva, hogy a felhasználó nevében cselekszik, a böngészőt becsapják, hogy jogosulatlan parancsokat küldjön egy távoli szerverre.Ezeket a parancsokat el lehet rejteni a weboldal jelölési kódjának látszólag ártatlan részeiben, ami azt jelenti, hogy egy képfájl letöltésére törekvő böngésző valójában parancsokat küld egy bankra, online kiskereskedőre vagy közösségi hálózati oldalra.Néhány böngésző most olyan intézkedéseket tartalmaz, amelyek célja a helyszíni hamisítási támadások megakadályozása, és a harmadik féltől származó programozók kiterjesztéseket vagy pluginokat hoztak létre, amelyek hiányoznak ezek az intézkedések.Jó ötlet lehet az is, hogy kikapcsolja a hipertext jelölési nyelv (HTML) e-mailt a kívánt ügyfélben, mivel ezek a programok szintén kiszolgáltatottak a helyszíni hamisítási támadásokra.

A helyszíni hamisítások óta támaszkodnak azokra a felhasználókra, akik jogszerűen bejelentkeztek egy weboldalra.Ezt szem előtt tartva az ilyen támadások megelőzésének egyik legegyszerűbb módja az, ha egyszerűen csak kijelentkezik a webhelyekről.Számos olyan webhely, amely érzékeny adatokkal foglalkozik, beleértve a bankokat és a brókercégeket, egy bizonyos inaktivitás után automatikusan megteszi ezt.Más webhelyek ellentétes megközelítést alkalmaznak, és lehetővé teszik a felhasználók számára, hogy napok vagy hetekig tartósan bejelentkezzenek.Bár lehet, hogy ezt kényelmesnek találja, a CSRF támadásoknak tesz ki téged.Keressen egy „Emlékezz rám ezen a számítógépen” vagy a „Tartsa be a bejelentkezési lehetőséget” opció, és tiltsa le, és feltétlenül kattintson a bejelentkezési linkre, amikor befejezte a munkamenetet.

A webfejlesztők esetében a helyszíni hamisítás sebezhetőségének kiküszöbölése különösen kihívást jelentő feladat lehet.A hivatkozó és a cookie -információk ellenőrzése nem nyújt sok védelmet, mivel a CSRF kizsákmányolása kihasználja a legitim felhasználói hitelesítő adatokat, és ezt az információt könnyű megtámadni.Jobb megközelítés az lenne, ha véletlenszerűen generálnánk egy használati tokent minden alkalommal, amikor a felhasználó bejelentkezik, és megköveteli, hogy a tokent a felhasználó által elküldött kéréshez be kell vonni.Fontos kérelmekhez, például a vásárlások vagy az alapok átutalásaihoz, ha a felhasználó felhasználónevét és jelszavát visszatér a felhasználónévhez és a kérelem hitelességének biztosításához.