En förfalskning på tvärsida (XSRF eller CSRF), även känd med en mängd olika namn, inklusive förföljande på kortplats, session ridning och enklickattack, är en svår typ av webbplatsutnyttjande för att förhindra.Den fungerar genom att lura en webbläsare till att skicka obehöriga kommandon till en fjärrserver.Tvärsida för förfalskningsattacker arbetar bara mot användare som har loggat in på webbplatser med autentiska referenser;Som ett resultat kan loggning från webbplatser vara en enkel och effektiv förebyggande åtgärd.Webbutvecklare kan använda slumpmässigt genererade tokens för att förhindra denna typ av attack, men bör undvika att kontrollera referensen eller förlita sig på kakor.

Det är vanligt att exploater på förfalskning på tvärsida för att rikta in webbläsare i det som kallas en "förvirrad biträdande attack."När man tror att de ska agera på användarens vägnar, luras webbläsaren att skicka obehöriga kommandon till en fjärrserver.Dessa kommandon kan döljas inuti till synes oskyldiga delar av en webbsidans markeringskod, vilket innebär att en webbläsare som försöker ladda ner en bildfil faktiskt kan skicka kommandon till en bank, online -återförsäljare eller sociala nätverk.Vissa webbläsare inkluderar nu åtgärder som är utformade för att förhindra attacker på tvärsida och tredjepartsprogrammerare har skapat förlängningar eller plugins som saknar dessa åtgärder.Det kan också vara en bra idé att stänga av HyperText Markup Language (HTML) e-post i din föredragna klient eftersom dessa program också är sårbara för attacker på tvärsida.

Sedan förfalskningsattacker för tvärsida förlitar sig på användare som legitimt har loggat in på en webbplats.Med det i åtanke är ett av de enklaste sätten att förhindra en sådan attack att helt enkelt logga ut från webbplatser som du är klar med.Många webbplatser som hanterar känslig information, inklusive banker och mäklareföretag, gör detta automatiskt efter en viss inaktivitetsperiod.Andra webbplatser tar motsatt tillvägagångssätt och gör det möjligt för användare att vara ihållande inloggade i dagar eller veckor.Även om du kanske tycker att det är praktiskt utsätter det dig för CSRF -attacker.Leta efter en "Kom ihåg mig på den här datorn" eller "Håll mig inloggad" -alternativ och inaktivera det, och se till att klicka på Log Out -länken när du har slutfört en session.

För webbutvecklare kan det vara en särskilt utmanande uppgift att eliminera sårbarheter på tvärsida på plats.Att kontrollera referenser och cookie -information ger inte mycket skydd eftersom CSRF -utnyttjande drar nytta av legitima användaruppgifter och denna information är lätt att förfalska.Ett bättre tillvägagångssätt skulle vara att slumpmässigt generera en engångsbruk varje gång en användare loggar in och kräva att token ingår i någon begäran som skickas av användaren.För viktiga förfrågningar som inköp eller fondöverföringar kan det hjälpa till att återge användarnamn och lösenord för att säkerställa begäran om begäran.