Usando Django com proteção CSRF habilitada (você deve!)? Este elemento de polímero estende core-ajax e injeta o token CSRF em cada chamada de ajax.
<link rel="import" href="/static/bower_components/polymer/polymer.html">
<link rel="import" href="/static/bower_components/core-ajax/core-ajax.html">
<polymer-element name="django-ajax" extends="core-ajax">
<script>
Polymer({
getCSRFCookie: function() {
b = document.cookie.match('(^|;)\s*csrftoken\s*=\s*([^;]+)');
return b ? b.pop() : '';
},
ready: function() {
this.super();
this.headers = {
"X-CSRFToken": this.getCSRFCookie(),
"X-Requested-With": "XMLHttpRequest"
};
}
});
</script>
</polymer-element>