Sebuah pemalsuan lintas situs (XSRF atau CSRF), juga dikenal oleh berbagai nama termasuk pemalsuan permintaan lintas situs, mengendarai sesi, dan serangan satu klik, adalah jenis eksploitasi situs web yang sulit untuk dicegah.Ini beroperasi dengan menipu browser web agar mengirim perintah yang tidak sah ke server jarak jauh.Serangan pemalsuan lintas-situs hanya bekerja terhadap pengguna yang telah masuk ke situs web dengan kredensial otentik;Akibatnya, keluar dari situs web dapat menjadi ukuran pencegahan yang sederhana dan efektif.Pengembang web dapat menggunakan token yang dihasilkan secara acak untuk membantu mencegah serangan jenis ini, tetapi harus menghindari memeriksa pengirim atau mengandalkan cookie.

Adalah umum untuk eksploitasi pemalsuan lintas situs untuk menargetkan browser web dalam apa yang dikenal sebagai "serangan wakil yang bingung."Percaya untuk bertindak atas nama pengguna, browser ditipu untuk mengirim perintah tidak sah ke server jarak jauh.Perintah -perintah ini dapat disembunyikan di dalam bagian yang tampaknya tidak bersalah dari kode markup halaman web, yang berarti bahwa browser yang mencoba mengunduh file gambar mungkin sebenarnya mengirim perintah ke bank, pengecer online, atau situs jejaring sosial.Beberapa browser sekarang termasuk langkah-langkah yang dirancang untuk mencegah serangan pemalsuan lintas situs, dan programmer pihak ketiga telah menciptakan ekstensi atau plugin yang tidak memiliki langkah-langkah ini.Mungkin juga merupakan ide yang baik untuk mematikan email Hypertext Markup Language (HTML) di klien pilihan Anda karena program-program ini juga rentan terhadap serangan pemalsuan lintas situs.

Sejak serangan pemalsuan lintas situs bergantung pada pengguna yang secara sah masuk ke situs web.Dengan mengingat hal itu salah satu cara termudah untuk mencegah serangan seperti itu adalah dengan keluar dari situs yang Anda gunakan.Banyak situs yang menangani data sensitif, termasuk bank dan perusahaan pialang, melakukan ini secara otomatis setelah periode tidak aktif tertentu.Situs lain mengambil pendekatan yang berlawanan dan memungkinkan pengguna untuk terus masuk selama berhari -hari atau berminggu -minggu.Meskipun Anda mungkin menemukan ini nyaman, itu memang membuat Anda terpapar pada serangan CSRF.Cari opsi “Ingat saya di komputer ini” atau “Terus Masuk Saya” dan nonaktifkannya, dan pastikan untuk mengklik tautan log out saat Anda menyelesaikan sesi.

Untuk pengembang web, menghilangkan kerentanan pemalsuan lintas situs dapat menjadi tugas yang sangat menantang.Memeriksa Informasi Penjual dan Cookie tidak memberikan banyak perlindungan karena eksploitasi CSRF memanfaatkan kredensial pengguna yang sah dan informasi ini mudah dipalsukan.Pendekatan yang lebih baik adalah dengan secara acak menghasilkan token sekali pakai setiap kali pengguna masuk, dan mengharuskan token dimasukkan dengan permintaan apa pun yang dikirim oleh pengguna.Untuk permintaan penting seperti pembelian atau transfer dana, mengharuskan pengguna untuk masuk kembali nama pengguna dan kata sandi dapat membantu memastikan keaslian permintaan.