Weitere Angriffsform, die sich gegen Benutzer von Webanwendungen richtet. Hiermit lassen sich Funktionen einer Webanwendung von einem Angreifer im Namen des Opfers nutzen. Z.B. die Verwendung einer gefäschten Statusnachricht in einem sozialen Netzwerk. Die Nachricht des Angreifers wird im Namen des Opfers veröffentlicht.