Un cross-site falsification (XSRF ou CSRF), également connu sous une variété de noms, y compris Cross-Site Request faux, équitation session, et en un seul clic attaque, est un type difficile de site web exploiter à prévenir. Il fonctionne en incitant un navigateur Web en envoyant des commandes non autorisées sur un serveur distant. Falsification attaques cross-site fonctionne uniquement contre les utilisateurs qui se sont connectés à des sites web avec des références authentiques, en conséquence, la déconnexion de sites Web peut être une mesure préventive simple et efficace. Les développeurs Web peuvent utiliser générée aléatoirement jetons pour aider à prévenir ce type d'attaque, mais devraient éviter de vérifier le référent ou en s'appuyant sur les cookies.
Il est commun pour faux cross-site exploite pour cibler les navigateurs Web dans ce qui est connu comme une «attaque adjoint confus.« Croire à agir au nom de l'utilisateur, le navigateur est trompé en envoyant des commandes non autorisées sur un serveur distant.Ces commandes peuvent être cachés à l'intérieur des parties apparemment innocentes du code de balisage d'une page Web, ce qui signifie qu'un navigateur en essayant de télécharger un fichier image pourrait en fait être l'envoi de commandes à une banque, détaillant en ligne ou un site de réseautage social. Certains navigateurs incluent désormais des mesures visant à prévenir les attaques de falsification cross-site, et les programmeurs tiers ont créé des extensions ou plugins qui manquent de ces mesures. Il peut également être une bonne idée de désactiver HyperText Markup Language (HTML) e-mail dans votre client préféré parce que ces programmes sont également vulnérables aux attaques de falsification inter-sites.
Depuis les attentats de falsification cross-site s'appuient sur les utilisateurs qui ont légitimement connectés à un site Web. Avec cela à l'esprit l'un des moyens les plus faciles à prévenir une telle attaque est de simplement vous connecter sur les sites que vous avez fini d'utiliser. De nombreux sites qui traitent des données sensibles, y compris les banques et les sociétés de courtage, le font automatiquement après une certaine période d'inactivité.D'autres sites ont la démarche inverse et permettent aux utilisateurs d'être constamment connecté pendant des jours ou des semaines. Bien que vous pourriez trouver cette pratique, il ne vous expose à des attaques CSRF. Recherchez un «souvenir de moi sur cet ordinateur" ou "garde-moi connecté" option et le désactiver, et assurez-vous de cliquer sur le lien Déconnecter lorsque vous avez terminé une session.
Pour les développeurs Web, éliminant cross-site vulnérabilités de contrefaçon peut être une tâche particulièrement difficile. Vérification référent et des cookies ne fournit pas beaucoup de protection, car exploits CSRF tirer profit des informations d'identification utilisateur légitime, et cette information est facile à usurper. Une meilleure approche serait de générer aléatoirement un usage unique jeton chaque fois qu'un utilisateur se connecte, et exiger que le jeton être inclus à toute demande envoyée par l'utilisateur. Pour les demandes importantes comme les achats ou les transferts de fonds, demandant à l'utilisateur de rentrer nom d'utilisateur et mot de passe peuvent aider à garantir l'authenticité de la demande.
