使用AJAX创建Web应用程序时的CSRF保护，没有内联php

Question

刚开始重新开始重建应用程序所以所有的PHP都是 通过AJAX访问，即没有内联php，准备制作它 使用Phonegap的原生应用程序。

我想知道的一件事 - 目前（因为该网站现在使用内联php） 我使用随机字符串生成来确定呼叫是否来自 我的网站（这是为了帮助避免CSRF，对吧？）

...即

• 创建rand str
• 把它放进会话
• 使用任何AJAX调用发送它，并检查它是否与会话
匹配

当您不使用内联php时，这怎么可能？我必须......

• 从第一次AJAX调用，在调用期间在php中创建一个rand str， 并将其归还
• 将str存储在js var
中
• 将其发送回下一个AJAX
• 检查它是否与会话中的匹配，如果是，则一切都很好
• 创建一个新鲜的rand str，并将其发送回AJAX，为下一个做好准备 AJAX致电

如果以上是正确的，你怎么知道第一个AJAX电话没有被黑了？

感谢您的帮助。