Cross-site request forgery (CSRF) is een aanval waarbij een gebruiker ongemerkt een actie uitvoert op een website waar hij al is ingelogd. De aanval misbruikt het vertrouwen dat de website heeft in de browser van de gebruiker, waardoor een ogenschijnlijk legitiem verzoek toch ongewenste gevolgen kan hebben.
In de praktijk gebeurt dit vaak via een verborgen verzoek in een externe pagina, e-mail of script. Zodra de gebruiker die pagina bezoekt terwijl hij nog is ingelogd, kan de browser automatisch een verzoek versturen dat door de website als geldig wordt gezien.
Het risico zit niet in toegang krijgen, maar in het misbruiken van bestaande toegang. Denk aan het wijzigen van gegevens, uitvoeren van transacties of aanpassen van instellingen zonder dat de gebruiker zich daarvan bewust is.
CSRF is daarmee geen zichtbaar lek, maar een stille verschuiving van controle, waarbij de grens tussen gebruiker en systeem ongemerkt wordt overschreden.