Токен меняется после каждого запроса или обновления страницы. Ложится он в метатег при загрузке страницы(генерируется на сервере). В js файле беру содержимое этого метатега с токеном и отправляю в ajax запросе. Получается после каждого ajax запроса через js подгружать новый токен и подменять содержимое метатега?
var form = serialize(loginForm); // serialize() returns string with names of form inputs
form += "&csrf-token="+get_cookie('csrf-token'); //add to the serialize-string a value of the csrf token
myspace: Зачем? Кука и так придет на сервер в http запросе, https://developer.mozilla.org/ru/docs/Web/HTTP/Cookies: "Now, with every new request to the server, the browser will send back all previously stored cookies to the server using the Cookie header."
но тогда придется тем же ajax выдергивать свежий токен с сервера, например в json формате. И любой злоумышленик сможет этим куском js выдернуть нужный токен.
