защита от CSRF для ajax-запросов и форм без кнопок отправки

Я новичок в веб-безопасности. Мне было интересно, как правильно использовать токены в ajax-запросах и формах без кнопок отправки (, т.е. обновлений статуса), чтобы защититься от CSRF. Может ли кто-нибудь показать мне пример кода? Я знаю, как это сделать правильно для форм с кнопкой отправки. Также в моей папке ajax у меня есть htaccess со следующим:

SetEnvIfNoCase X-Requested-With XMLHttpRequest ajax
Order Deny,Allow
Deny from all
Allow from env=ajax

Достаточно ли этого для защиты ajax-запросов, или мне также следует реализовать безопасность токена для ajax-запросов?