这篇文章上次修改于 1983 天前，可能其部分内容已经发生变化，如有疑问可询问作者。

这里涉及到rails2.0以后为了提高安全性，防止伪造当前web程序的链接，技术上是嵌入一个随机字符窜在会话中，这样攻击者无法知道，保证了不会有通过其他网站控制器从CSRF的攻击行动。如果想要了解更多CSRF（Cross-site Request Forgery）请参考如下网站

http://en.wikipedia.org/wiki/Cross-site_request_forgery

http://isc.sans.org/diary.html?storyid=1750

解决方法：

如果按照上面的步骤，那么只需 Turn on request forgery protection. 在控制器中对于公开的实例方法开启请求伪造的开关。 特别注意，只在非Get的Html/JavaScript请求，保证网站的数据安全性。

 protect_from_forgery :except => :index