Un falsificazione incrociata (XSRF o CSRF), noto anche con una varietà di nomi tra cui falsificazione della richiesta di site, cavalcata e attacco con un clic, è un tipo difficile di sfruttamento del sito Web da prevenire.Funziona ingannando un browser Web nell'invio di comandi non autorizzati a un server remoto.Gli attacchi di falsificazione trasversale funzionano solo contro gli utenti che hanno effettuato l'accesso a siti Web con credenziali autentiche;Di conseguenza, la disconnessione dai siti Web può essere una misura preventiva semplice ed efficace.Gli sviluppatori Web possono utilizzare token generati in modo casuale per aiutare a prevenire questo tipo di attacco, ma dovrebbero evitare di controllare il referrer o fare affidamento sui cookie.

È comune per gli exploit di falsificazione incrociati per colpire i browser Web in quello che è noto come un "vice attacco confuso".Credendo di agire per conto dell'utente, il browser è ingannato nell'invio di comandi non autorizzati a un server remoto.Questi comandi possono essere nascosti all'interno di parti apparentemente innocenti del codice di markup di una pagina web, il che significa che un browser che cerca di scaricare un file di immagine potrebbe effettivamente inviare comandi a una banca, un rivenditore online o un sito di social network.Alcuni browser ora includono misure progettate per prevenire gli attacchi di falsificazione trasversale e i programmatori di terze parti hanno creato estensioni o plugin che non dispongono di queste misure.Potrebbe anche essere una buona idea disattivare l'e-mail di Hypertext Markup Language (HTML) nel tuo cliente preferito perché questi programmi sono anche vulnerabili agli attacchi di falsificazione incrociati.

Dato che gli attacchi di falsificazione si basano su utenti che hanno legittimamente effettuato l'accesso in un sito Web.Con questo in mente uno dei modi più semplici per prevenire un tale attacco è semplicemente disconnettersi dai siti che hai finito di usare.Molti siti che si occupano di dati sensibili, tra cui banche e società di intermediazione, lo fanno automaticamente dopo un certo periodo di inattività.Altri siti adottano l'approccio opposto e consentono agli utenti di essere persistentemente effettuati per giorni o settimane.Anche se potresti trovare questo comodo, ti espone agli attacchi CSRF.Cerca un'opzione "Ricordami su questo computer" o "Tienimi accesso" e disabilitala e assicurati di fare clic sul link di disconnessione quando hai completato una sessione.

Per gli sviluppatori Web, eliminare le vulnerabilità di falsificazione incrociata può essere un compito particolarmente impegnativo.Il controllo delle informazioni di referrer e cookie non fornisce molta protezione perché gli exploit CSRF sfruttano le credenziali dell'utente legittime e queste informazioni sono facili da falsificare.Un approccio migliore sarebbe quello di generare casualmente un token monouso ogni volta che un utente accede e richiedere che il token sia incluso con qualsiasi richiesta inviata dall'utente.Per richieste importanti come gli acquisti o i trasferimenti di fondi, che richiedono a un utente di rientrare in nome utente e password può aiutare a garantire l'autenticità della richiesta.