Per proteggersi da XSRF, devi avere un token separato su una pagina.
Vedi: Coding Horror: Prevenzione degli attacchi CSRF e XSRF, di Jeff Atwood
Come suggerisce il post, è meglio avere quei token in un campo nascosto all'interno del tuo modulo. Ma mi chiedo, se c'è qualche vantaggio nel memorizzarli in una funzione anonima, in modo che il valore venga aggiunto su submit?
Mentre vedo una vulnerabilità nei confronti dell'XSS nel solito approccio, non ci dovrebbe essere modo di inviare un modulo valido nel mio. Se qualcuno controlla il DOM con XSS, i token all'interno dei campi nascosti vengono rivelati facilmente, a meno che non sia una variabile javascript inaccessibile.