Estou tentando implementar a proteção CSRF em um aplicativo criado usando node.js usando a estrutura express.js. O aplicativo faz uso abundante de chamadas pós-Ajax para o servidor. Eu entendo que a estrutura de conexão fornece middleware CSRF, mas não tenho certeza de como implementá-la no escopo de solicitações de post Ajax do lado do cliente.

Há algumas informações sobre isso em outras Perguntas postadas aqui em stackoverflow, mas ainda não encontrei um exemplo razoavelmente completo de como implementá-lo nos lados do cliente e do servidor.

Alguém tem um exemplo de trabalho que eles gostariam de compartilhar sobre como implementar isso? A maioria dos exemplos que vi, presume que você está renderizando o formulário no lado do servidor e, em seguida, enviando-o (junto com o campo de formulário csrf_token incorporado) para o lado do cliente. No meu aplicativo, todo o conteúdo é processado no lado do cliente (incluindo modelos) via Backbone.js. Tudo o que o servidor faz é fornecer valores no formato JSON, que são utilizados por vários modelos no Backbone.js no lado do cliente. Pelo que entendi, eu precisaria recuperar o csrf_token via ajax antes que ele pudesse ser usado. No entanto, estou preocupado com isso pode ser problemático do ponto de vista de segurança. Será esta uma preocupação válida?