Jak zaimplementować ochronę CSRF w połączeniach Ajax przy użyciu express.js (szukając pełnego przykładu)?

Usiłuję zaimplementować ochronę CSRF w aplikacji zbudowanej przy użyciu node.js przy użyciu struktury express.js. Aplikacja obficie wykorzystuje połączenia Ajax do serwera. Rozumiem, że framework connect zapewnia oprogramowanie pośrednie CSRF, ale nie jestem pewien, jak zaimplementować go w zakresie żądań post-Ajax po stronie klienta.

W innych Pytaniach opublikowanych tutaj w stackoverflow są fragmenty i fragmenty na ten temat, ale muszę jeszcze znaleźć dość kompletny przykład implementacji zarówno po stronie klienta, jak i serwera.

Czy ktoś ma działający przykład, któremu zależy na tym, jak to wdrożyć? Większość przykładów, które widziałem, zakłada, że ​​renderujesz formularz po stronie serwera, a następnie wysyłasz go (wraz z osadzonym polem formularza csrf_token) na stronę klienta. W mojej aplikacji cała zawartość jest renderowana po stronie klienta (w tym szablony) za pośrednictwem Backbone.js. Wszystko, co robi serwer, to dostarczanie wartości w formacie JSON, które są wykorzystywane przez różne modele w Backbone.js po stronie klienta. Przez moje zrozumienie musiałbym najpierw pobrać csrf_token przez ajax, zanim będzie można go użyć. Jednak obawiam się, że może to być problematyczne z punktu widzenia bezpieczeństwa. Czy to ważny problem?

questionAnswers(5)

yourAnswerToTheQuestion