Защита GWT и XSRF

Я ищу возможные решения для защиты моего приложения GWT от XSRF.

Если я правильно понять решение GWT - он предоставляет сервлет, который вы используете для генерации токена на стороне клиента (при вызове конечной точки RPC) и для проверки на стороне сервера (когда вызов попадает в ваш service).

Это решение обслуживает только вызовы RPC? Разумеется, он нам нужен, чтобы охватить все запросы к серверу, созданные пользователями?

Какие-либо другие рекомендуемые решения XSRF (я также смотрю OWASP CSRFGuard )?