Estoy tratando de implementar la protección CSRF en una aplicación desarrollada usando node.js usando el marco express.js. La aplicación hace un uso abundante de las llamadas de correos Ajax al servidor. Entiendo que el marco de conexión proporciona middleware CSRF, pero no estoy seguro de cómo implementarlo en el ámbito de las solicitudes de publicación Ajax del lado del cliente.

Hay partes y partes sobre esto en otras Preguntas publicadas aquí en stackoverflow, pero todavía tengo que encontrar un ejemplo razonablemente completo de cómo implementarlo desde el lado del cliente y del servidor.

¿Alguien tiene un ejemplo de trabajo que les interese compartir sobre cómo implementar esto? La mayoría de los ejemplos que he visto, suponen que está representando el formulario en el lado del servidor y luego lo está enviando (junto con el campo de formulario incrustado csrf_token) al lado del cliente. En mi aplicación, todo el contenido se representa en el lado del cliente (incluidas las plantillas) a través de Backbone.js. Todo lo que el servidor hace es proporcionar valores en formato JSON, que son utilizados por varios Modelos en Backbone.js en el lado del cliente. Según tengo entendido, primero tendría que recuperar el csrf_token a través de ajax antes de poder utilizarlo. Sin embargo, me preocupa que esto pueda ser problemático desde el punto de vista de la seguridad. ¿Es esta una preocupación valida?