En un ataque CSRF, el atacante del sitio A puede usar el navegador del usuario U como trampolín para desencadenar una solicitud autenticada contra el sitio B, siempre que el usuario U ya esté autenticado contra el sitio B y B no tenga protección CSRF.
Un ejemplo sería incluir una imagen en el sitio A de esta manera:
<img src=http://site-B/unwanted_action?some_parameters>
Al incluir la imagen, se enviará una solicitud contra el sitio B, que incluye las cookies existentes y la información de autenticación básica que el usuario U tiene dentro del navegador del sitio B. Por lo tanto, la solicitud parece autenticada y el sitio B se ejecutará si no hay protección CSRF. lugar. Por lo tanto, todo lo que se necesita para el ataque es que el usuario U visite el sitio A, ya sea a sabiendas porque el atacante podría incrustar dicho enlace en un sitio del foro público, o sin saberlo porque dicho enlace está incrustado en un anuncio. Y dado que esta es una imagen, el usuario no debe realizar ninguna acción y probablemente ni siquiera se dará cuenta de que algo malo sucedió, como en Cómo se piratearon millones de módems DSL en Brasil, para pagar a las prostitutas de Río .
Dado el ejemplo anterior, debe quedar claro que no se necesita XSS para ejecutar un CSRF y que ni TLS ni la protección de la cookie de sesión contra la manipulación ayudarán a CSRF.