Валидация Ajax запросов с помощью токена

Это не совсем ответ, это просто ссылка на мой компонент.

Там всё банально:
1. Хэшируем параметры вызова сниппета
2. Сохраняем их в сессию, используя хэш как ключ
3. Добавляем ключ в скрытый инпут формы, чтобы он отправлялся на сервер при каждом запросе
4. Соответственно, данные из сессии можно получить только для этого ключа
5. А без ключа и вовсе ничего не работает

Наверное, это можно назвать CSRF токеном, но лично я решал несколько иные задачи — независимую отправку разных форм с одной страницы через Ajax.