A CSRF (Cross-Site Request Forgery) sebezhetőség

A támadás lényege azon alapul, hogy a szerver felé küldött kérés nincs azonosítva. Tehát egy rendszerbe bejelentkezett felhasználó és egy hamis kérést használó támadó nincs megkülönböztetve. A szerver kérés szempontjából mindketten ugyanazt a kérést kérik le. A visszaadott válaszban a session információkat felhasználva a támadó a felhasználó nevében beléphet és bármilyen műveletet végrehajthat, amit az adott felhasználói is megtehet. A dolog érdekessége, hogy hiába van jól megírva a rendszer felhasználó és session kezelése,  a rendszer kihasználható. A támadás kivédésére egy megoldás lehet, ha azonosítjuk a felhasználó kérését. Ezt általában az űrlapba épített véletlen generált ellenőrző kóddal tudjuk megtenni, amit a szerver oldalon a munkamenetben is elhelyezünk. Ezzel meggyőződhetünk róla, hogy a felhasználó által indított munkamenet rendelkezik ezzel a kóddal. Így bárki nem küldhet bármilyen kódot. A biztonságot még tovább növeli, ha a session lejáratát a lehető legrövidebbre vesszük, illetve automatikus kijelentkeztetést építünk be az alkalmazásunkba.