Selamlar,

CSRF,js bazlı üretiliyor.
Üretildikten sonra kullanılan her tokeni invalid yapmak açısından sistemde used adında bir küme açıyorum veya bir yere kaydettiriyorum çok güzel ama ortalama bir kullanıcı çok fazla işlem yaptığını varsayarsak ve her işleminde yeni bir token verirsek sunucumuz yavaşlayacaktır.

Peki JS'yi client side olarak ürettiriyoruz ve bu üretilen değeri server'a da bildiremeyiz.
Server'a bildirmek için bir endpoint yapsak bu sefer de saldırgan ilgili endpointi kullanarak kendi kafasından 1 veya 2 veya 3 gibi her türlü value'yi korumayı bypasslayacak.

Bu şekilde işin içinde kaldım
Ne yapmalıyım fikriniz var mı?
Güncel csrf korumaları hangi mantıkta işliyor?