Ang isang cross-site na pagpapatawad (XSRF o CSRF), na kilala rin sa pamamagitan ng iba't ibang mga pangalan kabilang ang cross-site na kahilingan sa pagpapatawad, pagsakay sa session, at pag-atake ng isang-click, ay isang mahirap na uri ng pagsasamantala sa website upang maiwasan.Nagpapatakbo ito sa pamamagitan ng pag -trick ng isang web browser sa pagpapadala ng hindi awtorisadong mga utos sa isang malayong server.Ang mga pag-atake ng cross-site na pag-atake ay gumagana lamang laban sa mga gumagamit na naka-log in sa mga website na may mga tunay na kredensyal;Bilang isang resulta, ang pag -log out sa mga website ay maaaring maging isang simple at epektibong panukalang pang -iwas.Ang mga developer ng web ay maaaring gumamit ng mga random na nabuo na mga token upang makatulong na maiwasan ang ganitong uri ng pag -atake, ngunit dapat iwasan ang pagsuri sa referrer o umasa sa cookies.

Karaniwan para sa mga pagsasamantala sa cross-site na pag-target sa mga web browser sa kung ano ang kilala bilang isang "nalilito na representante na pag-atake."Naniniwala na kumikilos sa ngalan ng gumagamit, ang browser ay na -trick sa pagpapadala ng mga hindi awtorisadong utos sa isang malayong server.Ang mga utos na ito ay maaaring maitago sa loob ng tila mga inosenteng bahagi ng markup code ng webpage, na nangangahulugang ang isang browser na sumusubok na mag -download ng isang file ng imahe ay maaaring magpadala ng mga utos sa isang bangko, online na tingi, o site ng social networking.Ang ilang mga browser ngayon ay nagsasama ng mga hakbang na idinisenyo upang maiwasan ang mga pag-atake ng cross-site na pag-atake, at ang mga programer ng third-party ay lumikha ng mga extension o plugin na kulang sa mga hakbang na ito.Maaari ring maging isang magandang ideya na patayin ang e-mail ng Hypertext Markup Language (HTML) sa iyong ginustong kliyente dahil ang mga programang ito ay mahina rin sa pag-atake ng mga pag-atake sa pag-aalsa.

Dahil ang mga pag-atake ng cross-site na pag-atake ay umaasa sa mga gumagamit na lehitimong naka-log in sa isang website.Sa pag -iisip nito ang isa sa mga pinakamadaling paraan upang maiwasan ang gayong pag -atake ay ang simpleng pag -log out sa mga site na natapos ka na.Maraming mga site na nakikitungo sa sensitibong data, kabilang ang mga bangko at mga kumpanya ng broker, gawin ito nang awtomatiko pagkatapos ng isang tiyak na panahon ng hindi aktibo.Ang iba pang mga site ay kumukuha ng kabaligtaran na diskarte at pinapayagan ang mga gumagamit na patuloy na naka -log in sa mga araw o linggo.Bagaman maaari mong makita ang maginhawa, inilalantad ka nito sa mga pag -atake ng CSRF.Maghanap ng isang "tandaan mo ako sa computer na ito" o "Panatilihin akong naka -log in" na pagpipilian at huwag paganahin ito, at tiyaking i -click ang link ng log out kapag nakumpleto mo ang isang session.

Para sa mga web developer, ang pag-alis ng mga kahinaan sa pag-aalsa ng cross-site ay maaaring maging isang partikular na mapaghamong gawain.Ang pagsuri sa impormasyon ng referrer at cookie ay hindi nagbibigay ng maraming proteksyon dahil ang mga pagsasamantala sa CSRF ay sinasamantala ang mga lehitimong kredensyal ng gumagamit at ang impormasyong ito ay madaling mag -spoof.Ang isang mas mahusay na diskarte ay ang random na makabuo ng isang solong gamit na token sa bawat oras na nag-log in ang isang gumagamit, at hinihiling na isama ang token sa anumang kahilingan na ipinadala ng gumagamit.Para sa mga mahahalagang kahilingan tulad ng mga pagbili o paglilipat ng pondo, na nangangailangan ng isang gumagamit na muling mag -user ng username at password ay makakatulong na matiyak ang pagiging tunay ng kahilingan.