анти-CSRF токен и Javascript
Я пытаюсь защитить приложение (php и много JS) от CSRF.
Я хочу использовать токены.
Многие операции выполняются с AJAX, поэтому я должен передать токен в Javascript. Если я хочу сгенерировать 1 токен за сеанс или загрузку страницы, это просто - я генерирую новый токен, помещаю его где-то в DOM, а затем нахожу его с Javascript и отправляю на сторону обработки.
Но что, если я хочу использовать новый токен для каждой операции? Я думал о том, чтобы сделать ajax-вызов для регенерации токена, а затем передать результат на страницу обработки.
Увеличивает ли это риск для безопасности? Я думал о том, чтобы заманить пользователя на страницу с помощью скрипта, который будет запрашивать токен, а затем использовать его для выполнения запроса, но опять же междоменный Javascript запрещен. Можно ли это сделать со вспышкой?
Может быть, другой подход для защиты вызовов ajax от CSRF?
Спасибо!