Forgeryjne cyfry (XSRF lub CSRF), znane również pod różnymi nazwami, w tym fałszerstwo żądania między witryną, jazda sesji i atak jednego kliknięcia, jest trudnym typem exploit strony internetowej, aby zapobiec.Działa, oszukając przeglądarkę internetową do wysyłania nieautoryzowanych poleceń na zdalny serwer.Ataki do fałszowania krzyżowego działają tylko przeciwko użytkownikom, którzy zalogowali się na stronach internetowych z autentycznych poświadczeń;W rezultacie wylogowanie się ze stron internetowych może być prostym i skutecznym środkiem zapobiegawczym.Twórcy stron internetowych mogą używać losowo generowanych tokenów, aby zapobiec tego rodzaju ataku, ale powinni unikać sprawdzania poleceń lub polegania na plikach cookie.

Wykonania z fałszerstwem między komorami jest często kierowane przez przeglądarki internetowe w tak zwanym „zdezorientowanym ataku zastępcy”.Uważając, że działa w imieniu użytkownika, przeglądarka jest oszukana do wysyłania nieautoryzowanych poleceń na zdalny serwer.Polecenia te mogą być ukryte w pozornie niewinnych częściach kodu znaczników strony internetowej, co oznacza, że przeglądarka próbująca pobrać plik obrazu, może faktycznie wysyłać polecenia do banku, sprzedawcy internetowego lub witryny sieci społecznościowych.Niektóre przeglądarki zawierają teraz środki zapobiegające zapobieganiu atakom fałszerstwa krzyżowego, a programistowie stron trzecich utworzyli rozszerzenia lub wtyczki, w których brakuje tych środków.Dobrym pomysłem może być również wyłączenie e-maila z hipertekstowym językiem znaczników (HTML) w preferowanym kliencie, ponieważ programy te są również podatne na ataki fałszerstwa.O.Mając to na uwadze, jednym z najłatwiejszych sposobów zapobiegania takiego ataku jest po prostu wylogowanie się z witryn, z którymi się skończysz.Wiele stron zajmujących się poufnymi danymi, w tym banki i firmy maklerskie, robi to automatycznie po określonym okresie bezczynności.Inne witryny przyjmują przeciwne podejście i pozwalają użytkownikom trwałe logowanie na dni lub tygodnie.Chociaż może się okazać to wygodne, naraża cię to na ataki CSRF.Poszukaj opcji „Pamiętaj o tym na tym komputerze” lub „Utrzymuj mnie” i wyłącz ją, i upewnij się, że kliknij link do wylogowania po zakończeniu sesji.

Dla programistów stron internetowych eliminowanie luk w rozstawie fałdowania międzynarodowych może być szczególnie trudnym zadaniem.Sprawdzanie informacji o skierowaniu i plikach cookie nie zapewnia dużej ochrony, ponieważ exploits CSRF korzysta z uzasadnionych poświadczeń użytkownika, a informacje te są łatwe do fałszowania.Lepszym podejściem byłoby losowe generowanie tokena jednorazowego użytku za każdym razem, gdy użytkownik się zaloguje, i wymaga dołączenia tokena z dowolnym żądaniem wysłanym przez użytkownika.W przypadku ważnych żądań, takich jak zakupy lub transfery funduszy, wymaganie od użytkownika ponownego wejścia do nazwy użytkownika i hasła może pomóc zapewnić autentyczność żądania.