CSRF令牌：使用JavaScript从服务器接收令牌

Question

最近，我在网站上以所需的html格式提供了CSRF保护。

其工作原理如下：

• 服务器生成哈希并将其放入会话变量
• 然后将哈希插入html表单内的html input。
• 提交表单时，服务器会将会话变量与客户端表单中的post进行比较。

这样工作正常，但是当我需要使用JavaScript提交表单并接收时 响应它不起作用，因为当客户端使用该表单发出请求时会重新生成令牌。

使用服务器响应返回新令牌是否安全？

或者我应该采用不同的方式，比如每次会话只生成一次哈希？