Едва ли, но Вы могли фальсифицировать его с RichTextBox только для чтения без границ. RichTextBox поддерживает Формат RTF (rtf).
Решено! изменил ajax на
data: "=" + action + "&ids=" + ids + "&authenticity_token=" + AUTH_TOKEN,
И я добавил в заголовок каждой страницы
<%= javascript_tag "const AUTH_TOKEN = #{form_authenticity_token.inspect};" if protect_against_forgery? %>
Этот метод хорошо работает, если вы используете jQuery.
http://henrik.nyh.se/2008/05/rails-authenticity-token-with-jquery
Сайт henrik.nyh.se, похоже, не работает. Версия там также содержит ошибку, которая превращает запрос на получение в почтовый запрос с Internet Explorer. Эта фиксированная версия взята из: http://www.justinball.com/2009/07/08/jquery-ajax-get-in-firefox-post-in-internet-explorer/
jQuery(document).ajaxSend(function(event, request, settings) {
if (typeof(AUTH_TOKEN) == "undefined") return;
if (settings.type == 'GET') return; // Don't add anything to a get request let IE turn it into a POST.
settings.data = settings.data || "";
settings.data += (settings.data ? "&" : "") + "authenticity_token=" + encodeURIComponent(AUTH_TOKEN);
});