Я пытаюсь защитить приложение (php и множество JS) от CSRF.
Я хочу использовать токены.
Многие операции выполняются с помощью AJAX , поэтому мне нужно передать токен в Javascript. Если я хочу сгенерировать 1 токен на сеанс или на загрузку страницы, это просто - я создаю новый токен, помещаю его где-нибудь в DOM, а затем нахожу его с помощью Javascript и отправляю на сторону обработки.
Но что, если я хочу использовать новый токен для каждой операции? Я думал о том, чтобы выполнить вызов ajax для восстановления токена и затем передать результат на страницу обработки.
Повышает ли это риск безопасности? Я думал о том, чтобы заманить пользователя на страницу с помощью сценария, который будет запрашивать токен, а затем использовать его для выполнения запроса, но опять же, перекрестный Javascript запрещен. Можно ли это сделать с помощью флэш-памяти?
Может быть, другой подход для защиты вызовов ajax от CSRF?
Спасибо!