Hvordan forhindrer jeg forfalskning på tværs af steder?
En forfalskning på tværs af websteder (XSRF eller CSRF), også kendt af en række forskellige navne, herunder forfalskning på tværs af anmodninger, session ridning og angreb med et enkelt klik, er en vanskelig type webstedsudnyttelse at forhindre. Det fungerer ved at narre en webbrowser til at sende uautoriserede kommandoer til en ekstern server. Angreb på tværs af steder fungerer kun mod brugere, der har logget ind på websteder med ægte legitimationsoplysninger; som et resultat kan udlogging fra websteder være en enkel og effektiv forebyggende foranstaltning. Webudviklere kan bruge tilfældigt genererede tokens til at forhindre denne type angreb, men bør undgå at kontrollere henviseren eller stole på cookies.
Det er almindeligt for forfalskninger på tværs af websteder at målrette webbrowsere i det, der er kendt som et "forvirret stedfortræderangreb." I troen på at handle på brugerens vegne, bliver browseren narret til at sende uautoriserede kommandoer til en ekstern server. Disse kommandoer kan skjules inde i tilsyneladende uskyldige dele af en webside's markeringskode, hvilket betyder, at en browser, der prøver at downloade en billedfil, faktisk sender kommandoer til en bank, online detailhandler eller et socialt netværkswebsted. Nogle browsere inkluderer nu foranstaltninger, der er designet til at forhindre angreb på tværs af sted, og tredjepartsprogrammører har oprettet udvidelser eller plugins, der mangler disse foranstaltninger. Det kan også være en god ide at slå HTML-mail (HyperText Markup Language) fra i din foretrukne klient, fordi disse programmer også er sårbare over forfalskningsangreb på tværs af websteder.
Da angreb på tværs af sted er afhængige af brugere, der legitimt har logget ind på et websted. Med det i tankerne er en af de nemmeste måder at forhindre et sådant angreb blot at logge ud af websteder, du er færdig med at bruge. Mange websteder, der beskæftiger sig med følsomme data, herunder banker og mæglervirksomheder, gør dette automatisk efter en bestemt inaktivitetsperiode. Andre sider tager den modsatte tilgang og giver brugerne mulighed for vedvarende at blive logget ind i dage eller uger. Selvom du måske finder dette praktisk, udsætter det dig for CSRF-angreb. Kig efter en "husk mig på denne computer" eller "Hold mig logget ind" og deaktiver den, og sørg for at klikke på log-out-linket, når du har afsluttet en session.
For webudviklere kan eliminering af sårbarheder på tværs af stedforfalskning være en særlig udfordrende opgave. Kontrollering af henvisnings- og cookieoplysninger giver ikke meget beskyttelse, fordi CSRF-udnyttelse drager fordel af legitime brugeroplysninger, og disse oplysninger er let at forfalskes. En bedre fremgangsmåde ville være at tilfældigt generere et token til engangsbrug hver gang en bruger logger på og kræve, at tokenet inkluderes i enhver anmodning sendt af brugeren. Ved vigtige anmodninger som køb eller overførsler af midler, kan det at hjælpe en bruger med at indtaste brugernavn og adgangskode hjælpe med at sikre anmodningens ægthed.