En forfalskning på tvers av sted (XSRF eller CSRF), også kjent under en rekke navn, inkludert forfalskning av kryss, øktur og ridning og ett-klikk-angrep, er en vanskelig type nettstedutnyttelse for å forhindre.Den fungerer ved å lure en nettleser til å sende uautoriserte kommandoer til en ekstern server.Tverrgående forfalskningsangrep fungerer bare mot brukere som har logget inn på nettsteder med autentisk legitimasjon;Som et resultat kan det være et enkelt og effektivt forebyggende mål å logge ut av nettsteder.Nettutviklere kan bruke tilfeldig genererte symboler for å forhindre denne typen angrep, men bør unngå å sjekke henvisningen eller stole på informasjonskapsler.

Det er vanlig at forfalskningsutnyttelser på tvers av nettsteder skal målrette nettlesere i det som er kjent som et "forvirret stedfortreder."I troen på å handle på brukerens vegne, blir nettleseren lurt til å sende uautoriserte kommandoer til en ekstern server.Disse kommandoene kan skjules inne i tilsynelatende uskyldige deler av en webpestens markeringskode, noe som betyr at en nettleser som prøver å laste ned en bildefil faktisk kan sende kommandoer til en bank, online forhandler eller nettsted for sosiale nettverk.Noen nettlesere inkluderer nå tiltak designet for å forhindre forfalskningsangrep på tvers av nettsteder, og tredjepartsprogrammerne har laget utvidelser eller plugins som mangler disse tiltakene.Det kan også være en god idé å slå av Hypertext Markup Language (HTML) e-post i din foretrukne klient fordi disse programmene også er sårbare for forfalskningsangrep på tvers av stedet.

Siden angrep på tvers av stedene er avhengige av brukere som legitimt har logget inn på et nettsted.Med det i bakhodet er en av de enkleste måtene å forhindre et slikt angrep å ganske enkelt logge ut av nettsteder du er ferdig med å bruke.Mange nettsteder som omhandler sensitive data, inkludert banker og meglerfirmaer, gjør dette automatisk etter en viss periode med inaktivitet.Andre nettsteder tar den motsatte tilnærmingen og lar brukere vedvarende logges inn i dager eller uker.Selv om du kanskje synes dette er praktisk, utsetter det deg for CSRF -angrep.Se etter en "Husk meg på denne datamaskinen" eller "Hold meg logget inn" -alternativet og deaktiver den, og sørg for å klikke på logg ut -koblingen når du har fullført en økt.

For webutviklere kan eliminere forfalskningssårbarheter på tvers av sider være en spesielt utfordrende oppgave.Å sjekke henvisnings- og informasjonskapsinformasjon gir ikke mye beskyttelse fordi CSRF -utnyttelser drar nytte av legitime brukeropplysninger og denne informasjonen er enkel å forfalske.En bedre tilnærming vil være å tilfeldig generere et engangs-token hver gang en bruker logger inn, og krever at tokenet blir inkludert i enhver forespørsel som er sendt av brukeren.For viktige forespørsler som kjøp eller fondsoverføringer, kan det å kreve at en bruker skal komme inn på brukernavn og passord, bidra til å sikre ektheten av forespørselen.