Een cross-site vervalsing (XSRF of CSRF), ook bekend onder een verscheidenheid aan namen, waaronder cross-site aanvraagvervalsing, sessie rijden en een klikaanval, is een moeilijk type website-exploitatie om te voorkomen.Het werkt door een webbrowser te misleiden om ongeautoriseerde opdrachten naar een externe server te verzenden.Cross-site vervalsingsaanvallen werken alleen tegen gebruikers die zich hebben aangemeld bij websites met authentieke referenties;Als gevolg hiervan kan het uitloggen van websites een eenvoudige en effectieve preventieve maatregel zijn.Webontwikkelaars kunnen willekeurig gegenereerde tokens gebruiken om dit type aanval te voorkomen, maar moeten voorkomen dat de verwijzer wordt gecontroleerd of op cookies vertrouwt.

Het is gebruikelijk dat cross-site vervalsing exploiteert om webbrowsers te richten in wat bekend staat als een "verwarde plaatsvervangend aanval".Omdat hij gelooft namens de gebruiker te handelen, wordt de browser misleid om ongeautoriseerde opdrachten naar een externe server te verzenden.Deze opdrachten kunnen in schijnbaar onschuldige delen van de markup -code van een webpagina worden verborgen, wat betekent dat een browser die een afbeeldingsbestand probeert te downloaden misschien opdrachten naar een bank, online retailer of sociale netwerksite stuurt.Sommige browsers bevatten nu maatregelen die zijn ontworpen om cross-site vervalsingaanvallen te voorkomen, en programmeurs van derden hebben extensies of plug-ins gemaakt die deze maatregelen missen.Het kan ook een goed idee zijn om de e-mail van HyperText Markup Language (HTML) uit te schakelen in de client van uw voorkeur, omdat deze programma's ook kwetsbaar zijn voor aanvallen van valsheid in de plaats.

Aangezien cross-site vervalsingsaanvallen vertrouwen op gebruikers die legitiem zijn aangemeld bij een website.Met dat in gedachten is een van de gemakkelijkste manieren om een dergelijke aanval te voorkomen, gewoon uit te loggen bij sites die u klaar bent met het gebruik.Veel sites die betrekking hebben op gevoelige gegevens, waaronder banken en brokeragebedrijven, doen dit automatisch na een bepaalde periode van inactiviteit.Andere sites volgen de tegenovergestelde aanpak en stellen gebruikers in staat om dagen of weken aan te loggen.Hoewel je dit misschien handig vindt, stelt het je bloot aan CSRF -aanvallen.Zoek naar een "onthoud mij op deze computer" of "houd me ingelogd" optie en schakel deze uit, en zorg ervoor dat u op de link uitloggen klikt wanneer u een sessie hebt voltooid.

Voor webontwikkelaars kan het elimineren van kwetsbaarheden van cross-site vervalsing een bijzonder uitdagende taak zijn.Het controleren van verwijzings- en cookie -informatie biedt niet veel bescherming omdat CSRF -exploits profiteren van legitieme gebruikersreferenties en deze informatie is gemakkelijk te vervalsen.Een betere aanpak zou zijn om willekeurig een token voor eenmalig gebruik te genereren telkens wanneer een gebruiker zich aanmeldt, en vereisen dat het token wordt opgenomen bij elk verzoek dat door de gebruiker wordt verzonden.Voor belangrijke verzoeken zoals aankopen of fondsoverdrachten, kan het vereisen van een gebruiker opnieuw de gebruikersnaam en het wachtwoord invoeren, kunnen helpen de authenticiteit van het verzoek te waarborgen.