Estoy tratando de proteger una aplicación (php y muchos JS) de CSRF.

Quiero usar tokens.

Se realizan muchas operaciones con AJAX, por lo que tengo que pasar el token en Javascript. Si quiero generar 1 token por sesión o por carga de página, es simple: genero un token nuevo, lo coloco en algún lugar en un DOM y luego lo encuentro con Javascript y lo envío al lado del procesamiento.

Pero, ¿qué pasa si quiero usar un nuevo token para cada operación? Estaba pensando en hacer una llamada ajax para regenerar el token y luego pasar el resultado a la página de procesamiento.

¿Esto aumenta el riesgo de seguridad? Estaba pensando en atraer al usuario a la página con un script que pediría un token y luego lo usaría para hacer la solicitud, pero nuevamente está prohibido Javascript de dominio cruzado. ¿Se puede hacer con flash?

¿Quizás otro enfoque para proteger las llamadas ajax de CSRF?

¡Gracias!