Открывает ли он вектор атаки, если сайт, управляемый ajax, использует уникальный токен, хранящийся в виде переменной javascript, и проверяет его при каждом запросе на предотвращение CSRF - при условии, что на сайте нет дыр XSS?
Это не открывает его для атаки. Если на сайте нет дыр в XSS, другая страница не сможет получить токен из переменной javascript.