Я пытаюсь защитить приложение (php и много JS) от CSRF.
Я хочу использовать токены.
В AJAX выполняется много операций, поэтому я должен передать токен в Javascript. Если я хочу генерировать 1 токен за сеанс или загрузку на страницу, просто - я генерирую новый токен, помещаю его где-то в DOM, а затем нахожу его с помощью Javascript и отправляю на обработку.
Но что, если я хочу использовать новый токен для каждой операции? Я думал о том, чтобы сделать вызов ajax для регенерации токена, а затем передать результат на страницу обработки.
Увеличивает ли риск безопасности? Я думал о том, чтобы заманить пользователя на страницу с помощью script, который будет запрашивать токен, а затем использовать его, чтобы сделать запрос, но затем снова перекрестный домен Javascript запрещен. Это можно сделать со вспышкой?
Может быть, другой подход для защиты вызовов ajax от CSRF?
Спасибо!