确实是最简单的方法。不要费心更改头文件。

确保你有:

<%= csrf_meta_tag %> in your layouts/application.html.erb

只需要像这样做一个隐藏的输入字段:

<input name="authenticity_token" 
               type="hidden" 
               value="<%= form_authenticity_token %>"/>

或者如果你想要一个jQuery ajax的帖子:

$.ajax({     
    type: 'POST',
    url: "<%= someregistration_path %>",
    data: { "firstname": "text_data_1", "last_name": "text_data2", "authenticity_token": "<%= form_authenticity_token %>" },                                                                                  
    error: function( xhr ){ 
      alert("ERROR ON SUBMIT");
    },
    success: function( data ){ 
      //data response can contain what we want here...
      console.log("SUCCESS, data="+data);
    }
});

最好的方法实际上是使用<%= form_authenticity_token。To_s %>直接在rails代码中打印令牌。你不需要像其他文章提到的那样使用javascript来搜索dom中的csrf令牌。只需添加标题选项如下;

$.ajax({
  type: 'post',
  data: $(this).sortable('serialize'),
  headers: {
    'X-CSRF-Token': '<%= form_authenticity_token.to_s %>'
  },
  complete: function(request){},
  url: "<%= sort_widget_images_path(@widget) %>"
})

我为这个问题纠结了好几天。任何GET调用都正常工作，但所有put都会生成“无法验证CSRF令牌真实性”错误。在我向nginx添加SSL证书之前，我的网站工作正常。

我终于在nginx设置中发现了这一行:

location @puma { 
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; 
    proxy_set_header Host $http_host; 
    proxy_redirect off;
    proxy_set_header X-Forwarded-Proto https;   # Needed to avoid 'WARNING: Can't verify CSRF token authenticity'
    proxy_pass http://puma; 
}

在添加了缺失的行“proxy_set_header X-Forwarded-Proto https;”之后，我的所有CSRF令牌错误都退出了。

希望这能帮助那些也在用头撞墙的人。哈哈

我只是想把这个链接到这里，因为这篇文章有你想要的大部分答案，而且它也非常有趣

http://www.kalzumeus.com/2011/11/17/i-saw-an-extremely-subtle-bug-today-and-i-just-have-to-tell-someone/

哎呀. .

我在我的application.js中漏掉了下面一行

//= require jquery_ujs

我把它换了，它还在工作。

=======更新=========

5年后，我又犯了同样的错误，现在我有了全新的Rails 5.1.6，我又找到了这篇文章。就像生命的循环。

现在的问题是 Rails 5.1默认删除了对jquery和jquery_ujs的支持

//= require rails-ujs in application.js

它做以下事情:

各种操作的强制确认对话框; 从超链接发出非get请求; 使用Ajax使表单或超链接异步提交数据; 在表单提交时自动禁用提交按钮，以防止双击。 (来自https://github.com/rails/rails-ujs/tree/master):

但为什么它不包括csrf令牌ajax请求?如果有人知道这个细节，请评论我。我很感激。

无论如何，我在我的自定义js文件中添加了以下内容以使其工作(感谢其他帮助我实现此代码的答案):

$( document ).ready(function() {
  $.ajaxSetup({
    headers: {
      'X-CSRF-Token': Rails.csrfToken()
    }
  });
  ----
  ----
});

这里投票最多的答案是正确的，但如果您正在执行跨域请求，则将不起作用，因为除非显式地告诉jQuery传递会话cookie，否则会话将不可用。下面是如何做到这一点:

$.ajax({ 
  url: url,
  type: 'POST',
  beforeSend: function(xhr) {
    xhr.setRequestHeader('X-CSRF-Token', $('meta[name="csrf-token"]').attr('content'))
  },
  xhrFields: {
    withCredentials: true
  }
});