การปลอมแปลงข้ามไซต์ (XSRF หรือ CSRF) หรือที่รู้จักกันในชื่อต่าง ๆ รวมถึงการปลอมแปลงคำขอข้ามไซต์การขี่เซสชั่นและการโจมตีด้วยคลิกเดียวเป็นการใช้ประโยชน์จากเว็บไซต์ที่ยากต่อการป้องกัน มันทำงานโดยหลอกเว็บเบราว์เซอร์ให้ส่งคำสั่งที่ไม่ได้รับอนุญาตไปยังเซิร์ฟเวอร์ระยะไกล การโจมตีการปลอมแปลงข้ามไซต์ทำงานเฉพาะกับผู้ใช้ที่เข้าสู่เว็บไซต์ด้วยข้อมูลประจำตัวที่แท้จริง ดังนั้นการออกจากระบบเว็บไซต์จึงเป็นวิธีการป้องกันที่ง่ายและมีประสิทธิภาพ นักพัฒนาเว็บสามารถใช้โทเค็นที่สร้างแบบสุ่มเพื่อช่วยป้องกันการโจมตีประเภทนี้ แต่ควรหลีกเลี่ยงการตรวจสอบผู้อ้างอิงหรืออาศัยคุกกี้
เป็นเรื่องปกติที่การปลอมแปลงเว็บไซต์ข้ามช่องโหว่เพื่อกำหนดเป้าหมายเว็บเบราว์เซอร์ในสิ่งที่เรียกว่า“ การโจมตีรองที่สับสน” เชื่อว่าการกระทำในนามของผู้ใช้นั้นเบราว์เซอร์ถูกหลอกให้ส่งคำสั่งที่ไม่ได้รับอนุญาตไปยังเซิร์ฟเวอร์ระยะไกล คำสั่งเหล่านี้สามารถซ่อนอยู่ในส่วนที่ไร้เดียงสาของรหัสมาร์คอัปของเว็บเพจซึ่งหมายความว่าเบราว์เซอร์ที่พยายามดาวน์โหลดไฟล์ภาพอาจกำลังส่งคำสั่งไปยังธนาคารร้านค้าปลีกออนไลน์หรือเว็บไซต์เครือข่ายสังคมออนไลน์ ขณะนี้เบราว์เซอร์บางตัวมีมาตรการที่ออกแบบมาเพื่อป้องกันการโจมตีจากการปลอมแปลงข้ามไซต์และโปรแกรมเมอร์บุคคลที่สามได้สร้างส่วนขยายหรือปลั๊กอินที่ไม่มีมาตรการเหล่านี้ มันอาจเป็นความคิดที่ดีที่จะปิดอีเมล HyperText Markup Language (HTML) ในไคลเอนต์ที่คุณต้องการเพราะโปรแกรมเหล่านี้ยังเสี่ยงต่อการถูกโจมตีด้วยการปลอมแปลงข้ามไซต์
ตั้งแต่การโจมตีการปลอมแปลงข้ามไซต์ขึ้นอยู่กับผู้ใช้ที่ลงชื่อเข้าใช้เว็บไซต์อย่างถูกกฎหมาย เมื่อคำนึงถึงวิธีการที่ง่ายที่สุดวิธีหนึ่งในการป้องกันการโจมตีดังกล่าวคือการออกจากระบบของเว็บไซต์ที่คุณใช้งานเสร็จแล้ว เว็บไซต์หลายแห่งที่จัดการกับข้อมูลที่ละเอียดอ่อนรวมถึงธนาคารและ บริษัท นายหน้าทำเช่นนี้โดยอัตโนมัติหลังจากไม่มีการใช้งานในช่วงระยะเวลาหนึ่ง ไซต์อื่นใช้แนวทางตรงกันข้ามและอนุญาตให้ผู้ใช้เข้าสู่ระบบอย่างต่อเนื่องเป็นวันหรือหลายสัปดาห์ แม้ว่าคุณจะพบว่าสิ่งนี้สะดวก แต่มันทำให้คุณได้รับการโจมตีจาก CSRF ค้นหาตัวเลือก“ จดจำฉันบนคอมพิวเตอร์เครื่องนี้” หรือ“ ให้ฉันเข้าสู่ระบบ” ตัวเลือกและปิดการใช้งานและตรวจสอบให้แน่ใจว่าได้คลิกที่ลิงค์ออกจากระบบเมื่อคุณเสร็จสิ้นเซสชั่น
สำหรับนักพัฒนาเว็บการกำจัดช่องโหว่ปลอมแปลงข้ามไซต์อาจเป็นงานที่ท้าทายเป็นพิเศษ การตรวจสอบข้อมูลผู้อ้างอิงและคุกกี้ไม่ได้ให้ความคุ้มครองมากนักเนื่องจากการใช้ประโยชน์จาก CSRF ใช้ประโยชน์จากข้อมูลรับรองผู้ใช้ที่ถูกกฎหมายและข้อมูลนี้ง่ายต่อการปลอมแปลง วิธีที่ดีกว่าคือการสร้างโทเค็นแบบใช้ครั้งเดียวแบบสุ่มในแต่ละครั้งที่ผู้ใช้ลงชื่อเข้าใช้และต้องการให้โทเค็นนั้นรวมอยู่ในคำขอใด ๆ ที่ส่งโดยผู้ใช้ สำหรับคำขอที่สำคัญเช่นการซื้อหรือการโอนเงินการกำหนดให้ผู้ใช้ป้อนชื่อผู้ใช้และรหัสผ่านอีกครั้งสามารถช่วยรับรองความถูกต้องของคำขอได้
