使用token机制防止CSRF攻击的一个疑问

我的页面中所有请求都是通过jquery的一个插件jquery.templateforms.js来实现的，全部使用$.post提交数据。

目前有一个需求是需要能够防止CSRF攻击，在网上看来很多资料，一般有三种方式
1、http reference头判断请求是否来自本地域
2、使用一次性令牌token，每一个post请求都携带一个一次性token，后台进行校验
3、使用图片验证码

第一种比较容易伪造，第二种是通用做法，第三种最安全。
但是由于页面是客户提供的，不能更改，所以我采用第2种方式来实现，在每一个$.post之前，我都先发出一个post请求去获取token，获取成功后，把token附带到要提交的数据中一起提交。获取token的post请求不需要用户登录就可以发起，因为登录的时候也要获取token，而这时候是未登录状态的。

但是我这种做法不能防止CSRF攻击，因为当一个用户登录系统后，在浏览器种打开另外一个选项卡，也是登录状态，因为cookie种携带这session id，所以可以构造js脚本来发起获取token的请求，接着再post非法数据。但是这个时候后台检测不出来。
网上搜索了很多资料，我没有看明白token这个机制是如何防止CSRF攻击的？

我如何做才能使web后台识别出获取token不是有本域发出的？

因为WebServer是自己实现的，所以一切可行的方法都可以