ウェブサイト攻撃手法の一種。クロス（cross）をXと表してXSRFと表記されることもある。ユーザーになりすまし、ウェブサイトの掲示板に悪意ある書き込みをしたり、ショッピングサイトで買い物をさせるなどの操作をスクリプト（プログラム）によって自動的に行う攻撃方法を指す。例としては、次のような手順がある。(1)CSRFの脆弱（ぜいじゃく）性があるウェブサイトの掲示板を見つけ、ここに自動的に書き込みをするスクリプトを作成する。書き込む内容はスクリプト内に含まれている。(2)スクリプトを埋め込んだウェブサイトを作成する。(3)このウェブサイトにユーザーを誘導する仕掛けをつくる（URLのリンクなど）。(4)ユーザーがURLのリンクをクリックする。(5)スクリプトを埋め込んだウェブサイトにアクセスする。(6)スクリプトが自動的に実行され、ユーザーになりすまして掲示板に書き込みを行う、など。CSRFは古くからある手法なので、ウェブサイト側では、どのサイトからアクセスしてきたのかを監視したり、スクリプトが自動的にパスワードなどのコードを画面から読み込んだり記述したりできないように、画像によるコードを表示するなどの手立てを講じている。なお、CSRFはウイルスではないので、パソコンにセキュリティーソフトがインストールされていても意味はない。ユーザー自身が身を守る方法としては、いわゆる裏サイトなどでソフトウエアや動画などのコンテンツをダウンロードしない、怪しいURLのリンクはクリックしない、などが挙げられる。2012年6月、横浜市のウェブサイトの掲示板に小学校襲撃予告が書き込まれ、大学生が逮捕される事件が起きた。のちに、真犯人を名乗る者が弁護士や大手メディアにCSRFを使った犯行であるなどの告白メールを送付。警察の調査の結果、誤認逮捕であったことが判明した。これは大阪府や三重県、福岡県などで6～9月にかけて連続して発生した、いわゆる遠隔操作ウイルス事件のうちの1つ。