Zapisuję w formie notatki, aby nikogo (w tym mnie) nie kusiło użycie csrf_exempt
;)
Dodanie obsługi CSRF w AngularJS 1.1.5+ polega na skonfigurowaniu nazw nagłówka i cookie:
.config(function($httpProvider) {
$httpProvider.defaults.xsrfHeaderName = 'X-CSRFToken';
$httpProvider.defaults.xsrfCookieName = 'csrftoken';
})