В консоли браузера увидел следующую штуку, обращение к урлу шло 2 раза и csrftoken в куках менялся, а в шаблоне оставался от первого запроса. Причина была в <img src="#">.
После устранения этого казуса проблема не решилась.
Вот инфомрация из консоли браузера
General
Remote Address:46.101.136.35:80
Request URL:http://www.sport2000.ru/cart/add/
Request Method:POST
Status Code:403 FORBIDDEN
Response Headers
view source
Connection:keep-alive
Content-Encoding:gzip
Content-Length:1117
Content-Type:text/html
Date:Fri, 13 Nov 2015 09:53:00 GMT
Server:nginx/1.6.2
Vary:Accept-Encoding
X-Frame-Options:SAMEORIGIN
Request Headers
view source
Accept:*/*
Accept-Encoding:gzip, deflate
Accept-Language:ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4
Connection:keep-alive
Content-Length:66
Content-Type:application/x-www-form-urlencoded; charset=UTF-8
Cookie:sessionid=pblmbdinacxwtplcl031k9ppg3i0auqd; _ym_uid=1447407496759863049; megagroup_onicon_563ca806286688c6088b459e_site_domain=sport2000.ru; megagroup_onicon_563ca806286688c6088b459e_user_id=5645af89256688560997a88a; megagroup_onicon_563ca806286688c6088b459e_user_hash=140cd5207aafe10e9a24f8e651ff6a04; _sntnl[en]=1; csrftoken=4cNveIpje68MMEYtUpwEejqD8ZVZ62vm; _ga=GA1.2.1435464583.1447407496; _ym_visorc_32387230=w; megagroup_onicon_563ca806286688c6088b459e_panel_position=['right','bottom',20,0,280,171]
Host:www.sport2000.ru
Origin:http://www.sport2000.ru
Referer:http://www.sport2000.ru/catalog/begovye-dorozhki/
User-Agent:Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.86 Safari/537.36
X-CSRFToken:4cNveIpje68MMEYtUpwEejqD8ZVZ62vm
X-Requested-With:XMLHttpRequest
Form Data
view source
view URL encoded
product_id:74
csrfmiddlewaretoken:4cNveIpje68MMEYtUpwEejqD8ZVZ62vm
Видно что в куках csrftoken=4cNveIpje68MMEYtUpwEejqD8ZVZ62vm;
и в запросе csrfmiddlewaretoken:4cNveIpje68MMEYtUpwEejqD8ZVZ62vm
совпадают. Но ошибка 403 Ошибка проверки CSRF. Запрос отклонён.
продолжает вылезать.
Эмперически было выяснено, что проблема уходит, если отключить чат консультанта на сайте, но как это связанно совершенно не ясно.
Особенно странно, что точно такой же код чата с оператором стоит на другом сайте на джанге и такой проблемы не вылезает.