Короче: куки передаются вместе с заголовками. Для сервера нет разницы это страница, ajax запрос или асинхронная догрузка (куки передаются всегда (я думаю вы знаете как работают куки)) Сессии, насколько мне известно хранятся в куках. Вам надо заставить ajax скрипт заставить отсылать crfs токен. Т.е. генерировать его на сервере, хранить в БД, ограничить время жизни и привязать к пользователю. Его надо передать обратно на сервер через, например, POST. Провепяете токен и куки и пишите данные в БД куда надо (или не пишите).
