Một giả mạo chéo trang (XSRF hoặc CSRF), còn được biết đến bởi nhiều tên khác nhau bao gồm giả mạo yêu cầu chéo, cưỡi phiên và tấn công một lần nhấp, là một loại khai thác trang web khó khăn để ngăn chặn.Nó hoạt động bằng cách lừa trình duyệt web để gửi các lệnh trái phép đến một máy chủ từ xa.Các cuộc tấn công giả mạo tại chỗ chỉ hoạt động chống lại người dùng đã đăng nhập vào các trang web có thông tin xác thực chính xác;Do đó, việc đăng xuất khỏi các trang web có thể là một biện pháp phòng ngừa đơn giản và hiệu quả.Các nhà phát triển web có thể sử dụng mã thông báo được tạo ngẫu nhiên để giúp ngăn chặn loại tấn công này, nhưng nên tránh kiểm tra người giới thiệu hoặc dựa vào cookie.

Thông thường cho các khai thác giả mạo tại chỗ để nhắm mục tiêu các trình duyệt web trong những gì được gọi là một cuộc tấn công phó bối rối của người Hồi giáo.Tin rằng đang hành động thay mặt người dùng, trình duyệt bị lừa gửi các lệnh trái phép đến một máy chủ từ xa.Các lệnh này có thể được ẩn bên trong các phần dường như vô tội của mã đánh dấu trang web, điều đó có nghĩa là một trình duyệt đang cố gắng tải xuống một tệp hình ảnh thực sự có thể gửi các lệnh đến ngân hàng, nhà bán lẻ trực tuyến hoặc trang mạng xã hội.Một số trình duyệt hiện bao gồm các biện pháp được thiết kế để ngăn chặn các cuộc tấn công giả mạo tại chỗ và các lập trình viên của bên thứ ba đã tạo ra các phần mở rộng hoặc plugin thiếu các biện pháp này.Nó cũng có thể là một ý tưởng tốt để tắt e-mail của Supertext Markup Language (HTML) trong máy khách ưa thích của bạn vì các chương trình này cũng dễ bị tấn công giả mạo trang web.Vì các cuộc tấn công giả mạo tại chỗ dựa vào người dùng đã đăng nhập hợp pháp vào một trang web.Với ý nghĩ đó, một trong những cách dễ nhất để ngăn chặn một cuộc tấn công như vậy là chỉ cần đăng xuất khỏi các trang web mà bạn đã hoàn thành bằng cách sử dụng.Nhiều trang web liên quan đến dữ liệu nhạy cảm, bao gồm các ngân hàng và công ty môi giới, tự động thực hiện điều này sau một khoảng thời gian không hoạt động nhất định.Các trang web khác có cách tiếp cận ngược lại và cho phép người dùng đăng nhập liên tục trong nhiều ngày hoặc vài tuần.Mặc dù bạn có thể thấy điều này thuận tiện, nhưng nó khiến bạn tiếp xúc với các cuộc tấn công CSRF.Tìm kiếm một người nhớ tôi trên máy tính này, hoặc giữ cho tôi đăng nhập tùy chọn và vô hiệu hóa nó, và đảm bảo nhấp vào liên kết đăng xuất khi bạn đã hoàn thành một phiên.Đối với các nhà phát triển web, việc loại bỏ các lỗ hổng giả mạo chéo trang có thể là một nhiệm vụ đặc biệt khó khăn.Kiểm tra thông tin giới thiệu và cookie không cung cấp nhiều bảo vệ vì khai thác CSRF tận dụng thông tin xác thực người dùng hợp pháp và thông tin này rất dễ giả mạo.Một cách tiếp cận tốt hơn là tạo ngẫu nhiên một mã thông báo sử dụng một lần mỗi khi người dùng đăng nhập và yêu cầu mã thông báo được bao gồm trong bất kỳ yêu cầu nào được gửi bởi người dùng.Đối với các yêu cầu quan trọng như mua hàng hoặc chuyển quỹ, yêu cầu người dùng phải nhập lại tên người dùng và mật khẩu có thể giúp đảm bảo tính xác thực của yêu cầu.