การปลอมแปลงข้ามไซต์ (XSRF หรือ CSRF) หรือที่รู้จักกันในชื่อที่หลากหลายรวมถึงการปลอมแปลงคำขอข้ามไซต์การขี่เซสชันและการโจมตีแบบคลิกเดียวเป็นเว็บไซต์ที่ยากลำบากในการใช้ประโยชน์จากการป้องกันมันทำงานโดยหลอกเว็บเบราว์เซอร์ไปส่งคำสั่งที่ไม่ได้รับอนุญาตไปยังเซิร์ฟเวอร์ระยะไกลการโจมตีการปลอมแปลงข้ามไซต์ทำงานเฉพาะกับผู้ใช้ที่ลงชื่อเข้าใช้เว็บไซต์ที่มีข้อมูลรับรองที่แท้จริงเป็นผลให้การเข้าสู่ระบบออกจากเว็บไซต์อาจเป็นมาตรการป้องกันที่ง่ายและมีประสิทธิภาพนักพัฒนาเว็บสามารถใช้โทเค็นที่สร้างแบบสุ่มเพื่อช่วยป้องกันการโจมตีประเภทนี้ แต่ควรหลีกเลี่ยงการตรวจสอบผู้อ้างอิงหรือพึ่งพาคุกกี้

เป็นเรื่องปกติสำหรับการใช้ประโยชน์จากการปลอมแปลงข้ามไซต์เพื่อกำหนดเป้าหมายเว็บเบราว์เซอร์ในสิ่งที่เรียกว่า "การโจมตีรองผู้สับสน"เชื่อว่าจะทำหน้าที่ในนามของผู้ใช้เบราว์เซอร์ถูกหลอกให้ส่งคำสั่งที่ไม่ได้รับอนุญาตไปยังเซิร์ฟเวอร์ระยะไกลคำสั่งเหล่านี้สามารถซ่อนอยู่ภายในส่วนที่ไร้เดียงสาของรหัสมาร์กอัปของหน้าเว็บซึ่งหมายความว่าเบราว์เซอร์ที่พยายามดาวน์โหลดไฟล์รูปภาพอาจส่งคำสั่งไปยังธนาคารผู้ค้าปลีกออนไลน์หรือเว็บไซต์เครือข่ายสังคมออนไลน์ขณะนี้เบราว์เซอร์บางตัวรวมถึงมาตรการที่ออกแบบมาเพื่อป้องกันการโจมตีแบบข้ามไซต์และโปรแกรมเมอร์ของบุคคลที่สามได้สร้างส่วนขยายหรือปลั๊กอินที่ขาดมาตรการเหล่านี้นอกจากนี้ยังเป็นความคิดที่ดีที่จะปิดอีเมลมาร์กอัปไฮเปอร์เท็กซ์ (HTML) ในไคลเอนต์ที่คุณต้องการเพราะโปรแกรมเหล่านี้มีความเสี่ยงต่อการโจมตีการปลอมแปลงข้ามไซต์

เนื่องจากการโจมตีการปลอมแปลงข้ามไซต์ขึ้นอยู่กับผู้ใช้ที่ลงชื่อเข้าใช้เว็บไซต์อย่างถูกกฎหมายโดยที่ในใจหนึ่งในวิธีที่ง่ายที่สุดในการป้องกันการโจมตีดังกล่าวคือการออกจากระบบเว็บไซต์ที่คุณใช้เสร็จแล้วหลายไซต์ที่เกี่ยวข้องกับข้อมูลที่ละเอียดอ่อนรวมถึงธนาคารและ บริษัท นายหน้าทำสิ่งนี้โดยอัตโนมัติหลังจากไม่มีการใช้งานในช่วงเวลาหนึ่งเว็บไซต์อื่น ๆ ใช้วิธีการตรงกันข้ามและอนุญาตให้ผู้ใช้เข้าสู่ระบบอย่างต่อเนื่องเป็นเวลาหลายวันหรือหลายสัปดาห์แม้ว่าคุณอาจพบว่าสะดวก แต่ก็จะทำให้คุณต้องโจมตี CSRFมองหาตัวเลือก“ จดจำฉันบนคอมพิวเตอร์เครื่องนี้” หรือ“ ให้ฉันเข้าสู่ระบบ” และปิดการใช้งานและตรวจสอบให้แน่ใจว่าคลิกลิงก์ออกจากระบบเมื่อคุณเสร็จสิ้นเซสชัน

สำหรับนักพัฒนาเว็บการกำจัดช่องโหว่การปลอมแปลงข้ามไซต์อาจเป็นงานที่ท้าทายเป็นพิเศษการตรวจสอบข้อมูลผู้อ้างอิงและคุกกี้ไม่ได้ให้การป้องกันมากนักเนื่องจากการหาประโยชน์จาก CSRF ใช้ประโยชน์จากข้อมูลประจำตัวของผู้ใช้ที่ถูกกฎหมายและข้อมูลนี้ง่ายต่อการปลอมแปลงวิธีที่ดีกว่าคือการสร้างโทเค็นแบบใช้ครั้งเดียวแบบสุ่มทุกครั้งที่ผู้ใช้เข้าสู่ระบบและกำหนดให้โทเค็นรวมอยู่ในคำขอใด ๆ ที่ส่งโดยผู้ใช้สำหรับคำขอที่สำคัญเช่นการซื้อหรือการโอนเงินโดยกำหนดให้ผู้ใช้ต้องป้อนชื่อผู้ใช้และรหัสผ่านอีกครั้งสามารถช่วยให้มั่นใจได้ถึงความถูกต้องของคำขอ