如果你使用javascript和jQuery在你的表单中生成令牌，这是有效的:

<input name="authenticity_token" 
       type="hidden" 
       value="<%= $('meta[name=csrf-token]').attr('content') %>" />

显然，您需要在Ruby布局中使用<%= csrf_meta_tag %>。

哎呀. .

我在我的application.js中漏掉了下面一行

//= require jquery_ujs

我把它换了，它还在工作。

=======更新=========

5年后，我又犯了同样的错误，现在我有了全新的Rails 5.1.6，我又找到了这篇文章。就像生命的循环。

现在的问题是 Rails 5.1默认删除了对jquery和jquery_ujs的支持

//= require rails-ujs in application.js

它做以下事情:

各种操作的强制确认对话框; 从超链接发出非get请求; 使用Ajax使表单或超链接异步提交数据; 在表单提交时自动禁用提交按钮，以防止双击。 (来自https://github.com/rails/rails-ujs/tree/master):

但为什么它不包括csrf令牌ajax请求?如果有人知道这个细节，请评论我。我很感激。

无论如何，我在我的自定义js文件中添加了以下内容以使其工作(感谢其他帮助我实现此代码的答案):

$( document ).ready(function() {
  $.ajaxSetup({
    headers: {
      'X-CSRF-Token': Rails.csrfToken()
    }
  });
  ----
  ----
});

如果我没记错的话，你必须添加以下代码到你的表单，以摆脱这个问题:

<%= token_tag(nil) %>

不要忘记参数。

对于那些需要非jQuery答案的人，您可以简单地添加以下内容:

xmlhttp.setRequestHeader('X-CSRF-Token', $('meta[name="csrf-token"]').attr('content'));

这里有一个非常简单的例子:

xmlhttp.open("POST","example.html",true);
xmlhttp.setRequestHeader('X-CSRF-Token', $('meta[name="csrf-token"]').attr('content'));
xmlhttp.send();

你应该这样做:

确保在布局中有<%= csrf_meta_tag %> 添加beforeSend到所有ajax请求来设置头部，如下所示:

$.ajax({ url: 'YOUR URL HERE',
  type: 'POST',
  beforeSend: function(xhr) {xhr.setRequestHeader('X-CSRF-Token', $('meta[name="csrf-token"]').attr('content'))},
  data: 'someData=' + someData,
  success: function(response) {
    $('#someDiv').html(response);
  }
});

在所有请求中发送令牌，您可以使用:

$.ajaxSetup({
  headers: {
    'X-CSRF-Token': $('meta[name="csrf-token"]').attr('content')
  }
});

从一个旧的应用程序升级到rails 3.1，包括csrf元标记仍然不能解决这个问题。在rubyonrails.org的博客上，他们给出了一些升级技巧，特别是这一行jquery应该放在布局的头部部分:

$(document).ajaxSend(function(e, xhr, options) {
 var token = $("meta[name='csrf-token']").attr("content");
  xhr.setRequestHeader("X-CSRF-Token", token);
});

摘自这篇博客:http://weblog.rubyonrails.org/2011/2/8/csrf-protection-bypass-in-ruby-on-rails。

在我的例子中，会话在每次ajax请求时都被重置。添加上面的代码解决了这个问题。