Cross-Site Request Forgery (CSRF) -hyökkäyksessä hyökkäävä sivusto aiheuttaa selaimen kautta pyynnön jotakin toista sivustoa kohden. Jos selaimella on aktiivinen istunto kohdesivustolla, voi hyökkääjä tehdä käyttäjänä erilaisia operaatioita.
CSRF estetään antamalla jokaisen HTTP-pyynnön mukana kryptografisesti vahva ja riittävän pitkä salaisuus. Nämä salaisuudet (nk. CSRF-tokenit) tallennetaan selaimessa niin, että hyökkääjän sivusto tai siltä peräisin oleva JavaScript ei pääse niihin käsiksi, eikä siten pysty tekemään tekaistuja pyyntöjä.
CSRF on helpointa estää käyttämällä sovelluskehikkoa, joka toteuttaa CSRF-suojauksen automaattisesti. Useimmiten tämä on paras vaihtoehto.
Mikäli tällaista kehikkotukea ei ole, suositeltava tapa on käyttää nk. ”double submit cookie” -tapaa. Tämä metodi on kätevä, koska se on tilaton eikä vaadi palvelinpään tallennustilaa, joten se sopii myös tilanteisiin, jossa pyynnöt selaimelta tulevat satunnaisesti eri palvelimille kuormantasaajan läpi. Kuten monissa muissakin tietoturvaominaisuuksissa, tämän naiivi toteutus saattaa olla haavoittuva.