Я пытаюсь защитить приложение (php и много JS) от CSRF.

Я хочу использовать токены.

Многие операции выполняются с AJAX, поэтому я должен передать токен в Javascript. Если я хочу сгенерировать 1 токен за сеанс или загрузку страницы, это просто - я генерирую новый токен, помещаю его где-то в DOM, а затем нахожу его с Javascript и отправляю на сторону обработки.

Но что, если я хочу использовать новый токен для каждой операции? Я думал о том, чтобы сделать ajax-вызов для регенерации токена, а затем передать результат на страницу обработки.

Увеличивает ли это риск для безопасности? Я думал о том, чтобы заманить пользователя на страницу с помощью скрипта, который будет запрашивать токен, а затем использовать его для выполнения запроса, но опять же междоменный Javascript запрещен. Можно ли это сделать со вспышкой?

Может быть, другой подход для защиты вызовов ajax от CSRF?

Спасибо!