токен анти-CSRF и Javascript

Я пытаюсь защитить приложение (php и множество JS) от CSRF.

Я хочу использовать токены.

Многие операции выполняются с помощью AJAX , поэтому мне нужно передать токен в Javascript. Если я хочу сгенерировать 1 токен на сеанс или на загрузку страницы, это просто - я создаю новый токен, помещаю его где-нибудь в DOM, а затем нахожу его с помощью Javascript и отправляю на сторону обработки.

Но что, если я хочу использовать новый токен для каждой операции? Я думал о том, чтобы выполнить вызов ajax для восстановления токена и затем передать результат на страницу обработки.

Повышает ли это риск безопасности? Я думал о том, чтобы заманить пользователя на страницу с помощью сценария, который будет запрашивать токен, а затем использовать его для выполнения запроса, но опять же, перекрестный Javascript запрещен. Можно ли это сделать с помощью флэш-памяти?

Может быть, другой подход для защиты вызовов ajax от CSRF?

Спасибо!