Eine Fälschungsgruppe (XSRF oder CSRF), die auch durch eine Vielzahl von Namen bekannt ist, darunter die Forderung von Cross-Site-Anforderungen, Sitzungsreiten und ein Klick-Angriff, ist eine schwierige Art von Website-Exploit, um sie zu verhindern.Es wird betrieben, indem ein Webbrowser dazu betrieben wird, nicht autorisierte Befehle an einen Remote -Server zu senden.Fälschungsangriffe für Cross-Site-Angriffe arbeiten nur gegen Benutzer, die sich mit authentischen Anmeldeinformationen auf Websites angemeldet haben.Infolgedessen kann das Abmelden von Websites eine einfache und effektive vorbeugende Maßnahme sein.Webentwickler können zufällig generierte Token verwenden, um diese Art von Angriff zu verhindern, sollten jedoch vermeiden, den Empfehler zu überprüfen oder sich auf Cookies zu verlassen.

Es ist üblich, dass Cross-Site-Fälschungen Exploits für Webbrowser in einem so genannten „verwirrten stellvertretenden Angriff“ zielen.Der Browser glaubt, im Namen des Benutzers zu handeln, und wird dazu gebracht, nicht autorisierte Befehle an einen Remote -Server zu senden.Diese Befehle können in scheinbar unschuldigen Teilen des Markup -Codes einer Webseite versteckt werden, was bedeutet, dass ein Browser, der versucht, eine Bilddatei herunterzuladen, tatsächlich Befehle an eine Bank, einen Online -Händler oder eine soziale Networking -Website sendet.Einige Browser umfassen jetzt Maßnahmen zur Verhinderung von Fälschungsangriffen im Bereich Fälschung, und Programmierer von Drittanbietern haben Erweiterungen oder Plugins erstellt, die diese Maßnahmen fehlen.Es kann auch eine gute Idee sein, die E-Mail (Hypertext Markup Language) in Ihrem bevorzugten Kunden auszuschalten, da diese Programme auch anfällig für Fälschungsangriffe mit Cross-Site-Angriffen sind.

Seit Fälschungsangriffe im Cross-Site-Angriffe auf Benutzer angewiesen sind, die sich legitim auf einer Website angemeldet haben.In diesem Sinne besteht eine der einfachsten Möglichkeiten, einen solchen Angriff zu verhindern, einfach von Websites, die Sie verwenden, einfach abmelden.Viele Websites, die sich mit sensiblen Daten befassen, einschließlich Banken und Maklerunternehmen, tun dies nach einer bestimmten Inaktivitätszeit automatisch.Andere Websites verfolgen den entgegengesetzten Ansatz und ermöglichen es den Benutzern, tagelang oder Wochen dauerhaft angemeldet zu sein.Obwohl Sie dies möglicherweise bequem finden, setzt es Sie CSRF -Angriffen aus.Suchen Sie nach einer Option "Erinnere dich an mich auf diesem Computer" oder "Halten Sie mich angemeldet" und deaktivieren Sie ihn, und klicken Sie auf den Link zur Anmeldung vor Abschluss einer Sitzung.

Für Webentwickler kann es eine besonders herausfordernde Aufgabe sein, anfällige Schwachstellen für adressierte Fälschungen zu beseitigen.Das Überprüfen von Empfehlungs- und Cookie -Informationen bietet keinen großen Schutz, da CSRF -Exploits legitime Benutzeranmeldeinformationen nutzen und diese Informationen leicht zu fälschen sind.Ein besserer Ansatz wäre es, jedes Mal, wenn ein Benutzer einmeldet, zufällig ein einzelnes Token zu generieren und das Token zu verlangen, dass die vom Benutzer gesendete Anfrage aufgenommen wird.Für wichtige Anfragen wie Einkäufe oder Fondtransfers kann ein Benutzer den Benutzernamen und das Passwort wieder eingeben, um die Authentizität der Anfrage sicherzustellen.