cross-site request forgery (CSRF), även känd som one-click attack eller session riding, är en typ av webbattack där obehöriga kommandon skickas från en användare som webbapplikationen litar på, genom att utnyttja webbläsarens förtroende för användaren. Attacken fungerar genom att en angripare lurar en användare att omedvetet skicka en webbförfrågan, vilken webbläsaren automatiskt förser med sessionkakor, vilket får den att framstå som legitim för webbservern. CSRF kan leda till oönskade åtgärder som dataläckage, ändring av sessionsstatus eller manipulation av användarkonton, och skiljer sig från cross-site scripting (XSS) genom att utnyttja webbplatsens förtroende för användarens webbläsare. Sårbarheter för CSRF har varit kända och utnyttjade sedan 2001, med exempel som Netflix, ING Direct, YouTube och uTorrent som drabbats, samt attacker mot webbaktiverade enheter som routrar 2018. Många befintliga skyddsmekanismer mot CSRF täcker inte GET-förfrågningar, trots att RFC2616 avråder från att använda GET för åtgärder som ändrar tillstånd.