ターゲットサイトでログイン状態にあるWebアプリケーション利用者に対して、罠サイトに設置したハイパリンクを踏ませたりスクリプトを実行させたりすることで、ターゲットサイトでその利用者が意図しない操作を不正に行わせる攻撃。ログイン中のセッションが利用されてしまうことにより、あたかも誘い込まれた利用者自身が操作したかのようにリクエストが送信・実行されてしまう。起こりうる被害としては、登録情報の書き換え、身に覚えのない投稿による誹謗中傷、利用中のサービスからの退会などがある。

リクエストが犯罪予告の書込みであれば、誘い込まれた利用者の仕業とされてしまい、誤認逮捕された事例もある。Webアプリケーション利用者が意図せずに犯罪に加担させられてしまうということである。最近では、Webサービスへのログイン状態を維持する人が多いため注意が必要である。