正規の権限を持つユーザに対して意図しない操作を行わせる。 「SNSに勝手に投稿する」「コンテンツを削除・改変する」「パスワードを勝手に変更する」など。
ワンタイムトークンを発行しチェックする。 予測困難な不規則な文字列(トークン)をセットし、処理の開始前にセッション変数とトークンの検証を行う。