Миллион же ответов в инете гуглится. Я чаще всего в таких случаях (т.е. во внешних каких-то более-менее повторно используемых скриптах) тупо выношу токен в основную страницу, потом использую просто как JS-переменную: dark-barker.blogspot.ru/2013/10/django-csrftoken-a...
Не плагин а расширение. И не думаете, что сама идея что можно блокировать расширение браузера посредством сайта абсурдна? То-то пользователи какого-нибудь AdBlock удивлялись бы постоянно.
