In un attacco CSRF, l'attaccante dal sito A può utilizzare il browser dell'utente U come trampolino per attivare una richiesta autenticata contro il sito contro il sito B, a condizione che l'utente U sia già autenticato contro il sito B e B non abbia protezione CSRF.
Un esempio potrebbe essere includere un'immagine sul sito A in questo modo:
<img src=http://site-B/unwanted_action?some_parameters>
Quando includi l'immagine verrà inviata una richiesta contro il sito B che include i cookie esistenti e le informazioni di autenticazione di base che l'utente U ha nel browser per il sito B. Quindi la richiesta sembra autenticata e il sito B verrà eseguito se non è presente alcuna protezione CSRF posto. Quindi tutto ciò che è necessario per l'attacco è che l'utente U visiti il sito A, consapevolmente perché l'autore dell'attacco potrebbe incorporare tale link in un sito pubblico del forum, o inconsapevolmente perché tale link è incorporato in un annuncio. E poiché questa è un'immagine, l'utente non deve compiere alcuna azione e probabilmente non si renderà conto che è successo qualcosa di brutto, come in Come sono stati hackerati milioni di modem DSL in Brasile, per pagare le prostitute di Rio .
Dato l'esempio di cui sopra, dovrebbe essere chiaro che non è necessario alcun XSS per eseguire un CSRF e che né TLS né la protezione del cookie di sessione contro la manomissione aiuteranno contro CSRF.