Тот факт, что вы используете Ajax, не означает, что другие тоже должны это делать.Ваш сервер не сможет отличить запрос, сделанный XHR, от запроса, сделанного <form>.(Да, XHR обычно добавляет заголовок, идентифицирующий себя, но это не сложно подделать.)
Так что да, вам нужно учитывать CSRF-атаки.
Редактировать
Djangoимеют POC , поэтому они и Ruby on Rails теперь реализуют защиту CSRF для запросов AJAX.
Еще раз, пожалуйста, проверьте свои факты, прежде чем понижать голос, и объяснитедля чего нужен понижающий голос.