Ich versuche, eine Anwendung (PHP und viele JS) vor CSRF zu schützen.

Ich möchte Token verwenden.

Viele Operationen werden mit AJAX ausgeführt, daher muss ich das Token in Javascript übergeben. Wenn ich 1 Token pro Sitzung oder pro Seitenladevorgang generieren möchte, ist das ganz einfach: Ich generiere ein neues Token, lege es irgendwo in ein DOM und finde es dann mit Javascript und sende es an die verarbeitende Seite.

Aber was ist, wenn ich für jeden Vorgang ein neues Token verwenden möchte? Ich habe darüber nachgedacht, einen Ajax-Aufruf auszuführen, um das Token neu zu generieren und das Ergebnis dann an die Verarbeitungsseite zu übergeben.

Erhöht dies das Sicherheitsrisiko? Ich habe darüber nachgedacht, Benutzer zu einer Seite mit einem Skript zu locken, das nach einem Token fragt und es dann verwendet, um die Anfrage zu stellen, aber dann ist domänenübergreifendes JavaScript verboten. Kann man das mit Flash machen?

Möglicherweise ein anderer Ansatz zum Schutz von Ajax-Anrufen vor CSRF?

Vielen Dank