这里投票最多的答案是正确的，但如果您正在执行跨域请求，则将不起作用，因为除非显式地告诉jQuery传递会话cookie，否则会话将不可用。下面是如何做到这一点:

$.ajax({ 
  url: url,
  type: 'POST',
  beforeSend: function(xhr) {
    xhr.setRequestHeader('X-CSRF-Token', $('meta[name="csrf-token"]').attr('content'))
  },
  xhrFields: {
    withCredentials: true
  }
});

最好的方法实际上是使用<%= form_authenticity_token。To_s %>直接在rails代码中打印令牌。你不需要像其他文章提到的那样使用javascript来搜索dom中的csrf令牌。只需添加标题选项如下;

$.ajax({
  type: 'post',
  data: $(this).sortable('serialize'),
  headers: {
    'X-CSRF-Token': '<%= form_authenticity_token.to_s %>'
  },
  complete: function(request){},
  url: "<%= sort_widget_images_path(@widget) %>"
})

如果我没记错的话，你必须添加以下代码到你的表单，以摆脱这个问题:

<%= token_tag(nil) %>

不要忘记参数。

如果你使用javascript和jQuery在你的表单中生成令牌，这是有效的:

<input name="authenticity_token" 
       type="hidden" 
       value="<%= $('meta[name=csrf-token]').attr('content') %>" />

显然，您需要在Ruby布局中使用<%= csrf_meta_tag %>。

对于那些需要非jQuery答案的人，您可以简单地添加以下内容:

xmlhttp.setRequestHeader('X-CSRF-Token', $('meta[name="csrf-token"]').attr('content'));

这里有一个非常简单的例子:

xmlhttp.open("POST","example.html",true);
xmlhttp.setRequestHeader('X-CSRF-Token', $('meta[name="csrf-token"]').attr('content'));
xmlhttp.send();

如果你没有使用jQuery，而是使用类似于获取API的请求，你可以使用下面的方法来获取csrf-token:

文档。querySelector(“元[name =“csrf-token”]”)。getAttribute(“内容”)

fetch('/users', {
  method: 'POST',
  headers: {
    'Accept': 'application/json',
    'Content-Type': 'application/json',
    'X-CSRF-Token': document.querySelector('meta[name="csrf-token"]').getAttribute('content')},
    credentials: 'same-origin',
    body: JSON.stringify( { id: 1, name: 'some user' } )
    })
    .then(function(data) {
      console.log('request succeeded with JSON response', data)
    }).catch(function(error) {
      console.log('request failed', error)
    })