Kelių svetainių klastojimas (XSRF arba CSRF), taip pat žinomas įvairiais pavadinimais, įskaitant kelių svetainių užklausų klastojimą, seanso judėjimą ir ataką vienu spustelėjimu, yra sudėtingas svetainės išnaudojimo tipas, kurio išvengti. Jis veikia apgaudinėdama žiniatinklio naršyklę ir siunčia neteisėtas komandas į nuotolinį serverį. Kelių svetainių klastojimo atakos veikia tik prieš vartotojus, kurie prisijungė prie svetainių su autentiškais kredencialais; todėl atsijungimas nuo svetainių gali būti paprasta ir veiksminga prevencinė priemonė. Žiniatinklio kūrėjai gali naudoti atsitiktinai sugeneruotus žetonus, kad padėtų užkirsti kelią tokio tipo atakoms, tačiau turėtų vengti tikrinti persiuntimo nuorodą arba pasikliauti slapukais.
Įprasta, kad kelių svetainių klastojimo išnaudojimai nukreipiami į žiniatinklio naršykles, vadinamą „supainioto pavaduotojo ataka“. Naršyklė, manydama, kad veikia vartotojo vardu, apgaule siunčia neteisėtas komandas į nuotolinį serverį. Šios komandos gali būti paslėptos iš pažiūros nekaltose tinklalapio žymėjimo kodo dalyse, o tai reiškia, kad naršyklė, bandanti atsisiųsti vaizdo failą, iš tikrųjų gali siųsti komandas bankui, internetiniam mažmenininkui ar socialinio tinklo svetainei. Kai kurios naršyklės dabar apima priemones, skirtas užkirsti kelią įvairių svetainių klastojimo atakoms, o trečiųjų šalių programuotojai sukūrė plėtinių ar papildinių, kuriuose šių priemonių trūksta. Taip pat gali būti naudinga išjungti hiperteksto žymėjimo kalbos (HTML) el. paštą pageidaujamoje kliento programoje, nes šios programos taip pat yra pažeidžiamos kelių svetainių klastojimo atakų.
Kadangi kelių svetainių klastojimo atakos priklauso nuo vartotojų, kurie teisėtai prisijungė prie svetainės. Turint tai omenyje, vienas iš paprasčiausių būdų užkirsti kelią tokiai atakai yra tiesiog atsijungti nuo svetainių, kurias baigėte naudoti. Daugelis svetainių, kuriose dirbama su neskelbtinais duomenimis, įskaitant bankus ir maklerio įmones, tai daro automatiškai po tam tikro neveiklumo laikotarpio. Kitos svetainės laikosi priešingo požiūrio ir leidžia vartotojams nuolat prisijungti kelias dienas ar savaites. Nors jums tai gali būti patogu, tai gali sukelti CSRF atakas. Ieškokite parinkties „prisiminti mane šiame kompiuteryje“ arba „laikyti mane prisijungusį“ ir ją išjungti, o baigę seansą būtinai spustelėkite atsijungimo nuorodą.
Žiniatinklio kūrėjams pašalinti kelių svetainių klastojimo spragas gali būti ypač sudėtinga. Siuntimo ir slapukų informacijos tikrinimas nesuteikia didelės apsaugos, nes CSRF išnaudojimai naudojasi teisėtais vartotojo kredencialais ir šią informaciją lengva suklastoti. Geresnis būdas būtų atsitiktinai generuoti vienkartinį prieigos raktą kiekvieną kartą, kai vartotojas prisijungia, ir reikalauti, kad prieigos raktas būtų įtrauktas į bet kurią vartotojo siunčiamą užklausą. Svarbių užklausų, pvz., pirkimo ar lėšų pervedimo, atveju, reikalavimas iš naujo įvesti naudotojo vardą ir slaptažodį gali padėti užtikrinti užklausos autentiškumą.