Popis:Útoky typu Cross-Site Request Forgery zneužívají důvěry serveru v uživatele. Pokud je uživatel zalogován do aplikace, pak všechny požadavky, které na server tento uživatel odešle, budou aplikací vykonány pod jeho identitou. Uživatel ovšem může odeslat na server požadavek také nevědomky, například pokud klikne na odkaz, nebo navštíví stránku útočníka. Ta totiž může obsahovat odkaz na stažení externího obsahu (např. obrázek), samoodesílací formulář, nebo AJAXové volání. Aniž by to pak uživatel věděl, mohl právě serveru odeslat požadavek na změnu hesla, změnu kontaktní e-mailové adresy, a podobně.
Ochrana spočívá v přidání jedinečných náhodných tokenů ke všem funkčním odkazům a formulářům.