بهصورت کلی و عمومی برای دفاع استاندارد و خودکار در مقابل حملات CSRF که نیاز به مداخله کاربر در دفاع نباشد، دو بررسی جداگانه زیر پیشنهاد میگردد. در این بررسیها بهصورت عمدی و خودکار، درخواست مجوز متقابل یا Cross بهصورت لحظهای و آنی، رد خواهد شد.
· بررسی هدرهای استاندارد برای تائید درخواست همان منبع
· بررسی توکن های CSRF
برای دفاع از حملات CSRF راههای گوناگونی وجود دارد که میتوانید بهطور خاص در برابر این حملات دفاع نمایید. در توصیههای استاندارد حداقل یکی از موارد زیر را برای دفاع در برابر این حملات استفاده نمایید.
· همگام ساز توکن ها یا Synchronizer Tokens
· دفاع کوکیهای دوگانه یا Double Cookies Defense
· رمزگذاری الگوهای توکن یا Encrypted Token Pattern
· سربرگ سفارشی یا Custom Header
دیگر راهکارهای موجود برای جلوگیری از حملات CSRF در زیر بیانشدهاند؛ که باید برنامه نویسان و طراحان وبسایتها این موارد را در طراحیهای خود در نظر داشته باشند.
· استفاده از Captcha در فرمها
· استفاده از متد POST بجای متد GET
· تمامی متدهای POST باید بصورت parameter less باشند
· تمامی درخواست ها همراه توکن به سرور ارسال شود
· در تمامی درخواست ها نام دامنه چک شود (نام دامنه را در setting نرم افزار قرار دهید)
· تمامی درخواست های ارسالی از کلاینت حتما باید بصورت ایجکسی باشد
· پرهیز استفاده از Register_Global در صفحات پردازشگر
· گرفتن تائید مجدد پس از ارسال یک فرم از کاربر برای انجام فرآیندها
· ایجاد متغیرهای تصادفی در سمت سرور و بازپسگیری آن از طرف کاربر در زمان ارسال هر فرم
· اجبار کاربر به ورود مجدد رمز عبور قبل از انجام عملیاتهای مهم مثل انتقال پول
· استفاده از Captcha قبل از انجام عملیات های مهم
· اطمینان از عدم وجود فایل clientaccesspolicy.xml که موجب دسترسی ناخواسته Silverlight گردد
· اطمینان از عدم وجود فایل crossdomain.xml که موجب دسترسی ناخواسته Adobe flash گردد
· در صورتی که بخش مدیریت سایت جداست (مثلا در مسیر admin/ قرار دارد)، میتوان بخش ادمین را از طریق زیردامنه خاص و غیرقابل حدس یا حتی دامنه دیگر کنترل کرد تا حملات csrf و همچنین xss تا حد بالایی دفع شود.
