确保在布局中有<%= csrf_meta_tag %> 添加beforeSend在ajax请求中包含csrf-令牌，以设置头部。这只需要post请求。

读取csrf-token的代码在rails/jquery-ujs中可用，所以以我之见，使用它是最简单的，如下所示:

$.ajax({
  url: url,
  method: 'post',
  beforeSend: $.rails.CSRFProtection,
  data: {
    // ...
  }
})

我只是想把这个链接到这里，因为这篇文章有你想要的大部分答案，而且它也非常有趣

http://www.kalzumeus.com/2011/11/17/i-saw-an-extremely-subtle-bug-today-and-i-just-have-to-tell-someone/

如果有人需要与Uploadify和Rails 3.2相关的帮助(就像我在谷歌这篇文章时一样)，这个示例应用程序可能会有帮助: https://github.com/n0ne/Uploadify-Carrierwave-Rails-3.2.3/blob/master/app/views/pictures/index.html.erb

也检查控制器解决方案在这个应用程序

使用jquery。csrf (https://github.com/swordray/jquery.csrf)。

Rails 5.1或更高版本 添加jquery.csrf //= require jquery.csrf Rails 5.0或之前版本 来源“https://rails-assets.org”做 宝石的rails-assets-jquery.csrf 结束 //= require jquery.csrf 源代码 (函数(美元){ 美元(文档)。ajaxSend(函数(e, xhr，选项){ var牌= $(“元[name = " csrf-token]”).attr(“内容”); If (token) xhr。setRequestHeader(“X-CSRF-Token”,令牌); })； }) (jQuery);

从一个旧的应用程序升级到rails 3.1，包括csrf元标记仍然不能解决这个问题。在rubyonrails.org的博客上，他们给出了一些升级技巧，特别是这一行jquery应该放在布局的头部部分:

$(document).ajaxSend(function(e, xhr, options) {
 var token = $("meta[name='csrf-token']").attr("content");
  xhr.setRequestHeader("X-CSRF-Token", token);
});

摘自这篇博客:http://weblog.rubyonrails.org/2011/2/8/csrf-protection-bypass-in-ruby-on-rails。

在我的例子中，会话在每次ajax请求时都被重置。添加上面的代码解决了这个问题。

确保在布局中有<%= csrf_meta_tag %> 添加beforeSend在ajax请求中包含csrf-令牌，以设置头部。这只需要post请求。

读取csrf-token的代码在rails/jquery-ujs中可用，所以以我之见，使用它是最简单的，如下所示:

$.ajax({
  url: url,
  method: 'post',
  beforeSend: $.rails.CSRFProtection,
  data: {
    // ...
  }
})