Sivustojen välinen väärentäminen (XSRF tai CSRF), joka tunnetaan myös eri nimillä, mukaan lukien sivustojen välinen pyynnön väärentäminen, istunnon ratsastus ja yhden napsautuksen hyökkäys, on vaikea verkkosivuston hyväksikäytön tyyppi. Se toimii huijaamalla verkkoselaimen lähettämään luvattomia komentoja etäpalvelimelle. Sivustojen väliset väärentämishyökkäykset toimivat vain niitä käyttäjiä vastaan, jotka ovat kirjautuneet verkkosivustoille aidoilla tunnistetiedoilla. Tämän seurauksena verkkosivustoilta kirjautuminen voi olla yksinkertainen ja tehokas ennaltaehkäisevä toimenpide. Verkkokehittäjät voivat käyttää satunnaisesti luotuja tunnuksia estääkseen tällaisen hyökkäyksen, mutta heidän tulisi välttää viittaajan tarkistamista tai evästeisiin luottamista.
On tavallista, että sivustojen väliset väärennökset kohdistavat verkkoselaimet niin sanottuun “sekavaan varahyökkäykseen”. Selaimen uskotaan toimivan käyttäjän puolesta ja se on huijattu lähettämään luvattomia komentoja etäpalvelimelle. Nämä komennot voidaan piilottaa näennäisesti viattomiin osiin verkkosivun merkintäkoodia, mikä tarkoittaa, että kuvatiedoston lataava selain saattaa itse asiassa lähettää komentoja pankille, verkkokauppiaalle tai sosiaalisen verkostoitumisen sivustolle. Jotkin selaimet sisältävät nyt toimenpiteitä, joiden tarkoituksena on estää sivustojen väliset väärentämishyökkäykset, ja kolmannen osapuolen ohjelmoijat ovat luoneet laajennuksia tai laajennuksia, joista nämä toimenpiteet puuttuvat. HyperText Markup Language (HTML) -sähköpostin poistaminen käytöstä suositellussa asiakasohjelmassa saattaa myös olla hyvä idea, koska nämä ohjelmat ovat alttiita myös sivustojen välisille väärentämishyökkäyksille.
Koska sivustojen väliset väärennöshyökkäykset perustuvat käyttäjiin, jotka ovat laillisesti kirjautuneet verkkosivustoon. Tässä mielessä yksi helpoimmista tavoista estää tällainen hyökkäys on yksinkertaisesti kirjautua ulos sivustoilta, joiden käyttö on valmis. Monet sivustot, jotka käsittelevät arkaluonteisia tietoja, kuten pankit ja välitysyritykset, tekevät tämän automaattisesti tietyn toimettomuuden jälkeen. Muut sivustot noudattavat päinvastaista lähestymistapaa ja mahdollistavat käyttäjien jatkuvan kirjautumisen päiviin tai viikkoihin. Vaikka tämä saattaa olla kätevää, se altistaa sinut CSRF -hyökkäyksille. Etsi vaihtoehto “muista minut tällä tietokoneella” tai “pidä minut kirjautuneena” ja poista se käytöstä. Varmista, että napsautat uloskirjautumislinkkiä istunnon päätyttyä.
Verkkokehittäjille sivustojen välisten väärentämishaavoittuvuuksien poistaminen voi olla erityisen haastava tehtävä. Viittaus- ja evästetietojen tarkistaminen ei tarjoa paljon suojaa, koska CSRF -hyväksikäytöt hyödyntävät laillisia käyttäjätietoja ja nämä tiedot on helppo huijata. Parempi tapa olisi luoda satunnaisesti kertakäyttöinen tunniste aina, kun käyttäjä kirjautuu sisään, ja vaatia, että tunnus lisätään käyttäjän lähettämiin pyyntöihin. Tärkeiden pyyntöjen, kuten ostosten tai varojen siirtojen, osalta käyttäjän vaatiminen antamaan käyttäjätunnus ja salasana voi auttaa varmistamaan pyynnön aitouden.