Rails, похоже, игнорирует токены аутентичности для запросов AJAX. Например, я намеренно изменил свой вызов AJAX, чтобы проверить это с недопустимым токеном, и запросы, похоже, проходят нормально.
Приложение имеет конфигурацию по умолчанию для использования хранилища файлов cookie сеанса и имеет вызов protect_from_forgery в ApplicationController.
Есть идеи, чего еще мне может не хватать?