La nuestra es una aplicación pesada de Ajax con solicitudes concurrentes de Ajax. La generación de tokens únicos con cada solicitud o caducidad y la creación de nuevos tokens después de un cierto intervalo podría complicarse con varias solicitudes Ajax simultáneas.
Mi pregunta proviene del enfoque sugerido aquí -
Realmente, generar una cada vez que se carga toda la página debe ser suficiente si está haciendo esto a través de HTTPS, lo que debería ser.
Si habilitamos HTTPS, ¿es suficiente generar un token CSRF por sesión y usar ese token para todas las solicitudes en la sesión?