简单 Hybrid App 如何防止 CSRF，另外验证码如何实现？

还是打算参加比赛的项目，给自己学校做的App，后端用node.js(Express)，客户端主要是Hybrid App。

打算还是用比较传统的cookie+session做用户状态保持，目前有几个问题需要请教：
1.用户提交数据时（例如登录、发帖场景），是否还需要CSRF Token? 若需要，如何实现（目前我只想到了用户进去发帖视图时执行一次http请求，请求token）
2.验证码如何实现（打算做一个“压力控制”，防止广告和灌水。检测用户发帖间隔，少于一定时间就要求填写验证码。但是这个验证码什么时候去请求？比如请求CSRF token的时候，顺便返回一个是否需要验证码的值？比如{"once": "ThisIsCSRFToken", needCaptcha: true}）
3.关于防广告、灌水，v2的机制（铜币）似乎不错，但是对于一个学校App是否太重？
4.我是不是想太多了-_-#

请前辈们赐教，如果能提供一些node.js包减少我要造的轮子就更感谢了～！