Padělání křížového webu (XSRF nebo CSRF), známé také pod různými jmény, včetně novinek žádostí o napříč lokalitami, jízdy na relaci a útoku s jedním kliknutím, je obtížným typem využití webových stránek.Funguje tím, že podvádí webový prohlížeč k odesílání neoprávněných příkazů na vzdálený server.Útoky na padělání křížových stránek fungují pouze proti uživatelům, kteří se přihlásili na webové stránky s autentickými přihlašovacími údaji;Výsledkem je, že odhlášení z webových stránek může být jednoduchým a efektivním preventivním opatřením.Vývojáři webových stránek mohou používat náhodně generované tokeny, aby pomohli zabránit tomuto typu útoku, ale měli by se vyhnout kontrole referrer nebo spoléhat se na soubory cookie.

Je běžné, že výuky padělání na mezi místě zacílí na webové prohlížeče v tom, co se nazývá „zmatený zástupce útoku“.Věřící, že jedná za jménem uživatele, je prohlížeč podveden k odesílání neoprávněných příkazů na vzdálený server.Tyto příkazy mohou být skryté uvnitř zdánlivě nevinných částí značkového kódu webové stránky, což znamená, že prohlížeč, který se snaží stáhnout obrázek obrazu, může skutečně odesílat příkazy do banky, online prodejce nebo sociální sítě.Některé prohlížeče nyní zahrnují opatření navržená tak, aby zabránila útokům na padělání mezi místy, a programátoři třetích stran vytvořili rozšíření nebo pluginy, které tato opatření postrádají.Může být také dobré vypnout e-mail s hypertextem jazyka (HTML) ve vašem preferovaném klientovi, protože tyto programy jsou také zranitelné vůči útokům na padělání.

Protože útoky na padělání křížových stránek se spoléhají na uživatele, kteří se legitimně přihlásili do webu.S ohledem na to je jedním z nejjednodušších způsobů, jak zabránit takovému útoku, jednoduše se odhlásit z webů, které jste dokončili.Mnoho webů, které se zabývají citlivými údaji, včetně bank a makléřských firem, to provádí automaticky po určitém období nečinnosti.Jiné weby zaujímají opačný přístup a umožňují uživatelům, aby byli trvale přihlášeni po celé dny nebo týdny.I když to může být vhodné, vystavuje vás útokům CSRF.Podívejte se na možnost „Nezapomeňte si mě na tomto počítači“ nebo „udržet mě přihlášené“ a deaktivujte ji a po dokončení relace klikněte na odkaz na odhlášení.

Pro vývojáře webových stránek může být eliminace zranitelnosti padělání napříč lokalitami obzvláště náročným úkolem.Kontrola informací o doporučení a souboru cookie neposkytuje velkou ochranu, protože vykořisťování CSRF využívá výhody legitimních údajů o uživateli a tyto informace se snadno spoofou.Lepším přístupem by bylo náhodné generování tokenu s jedním použitím pokaždé, když se uživatel přihlásí, a vyžaduje, aby byl token zahrnut do jakéhokoli požadavku zaslaného uživatelem.Pro důležité požadavky, jako jsou nákupy nebo převody fondu, může vyžadovat, aby uživatel znovu zastoupil uživatelské jméno a heslo, zajistit autentičnost požadavku.