ここを参照してください: http://guides.rubyonrails.org/security.html
[Rails CSRF 保護] は、現在のセッションとサーバー側のシークレットから計算されたセキュリティ トークンを、Rails によって生成されたすべてのフォームと Ajax リクエストに自動的に含めます。CookieStorage をセッション ストレージとして使用する場合は、シークレットは必要ありません。セキュリティ トークンが予期したものと一致しない場合、セッションはリセットされます。
セッション全体をCookieに保存する場合、サーバー側の秘密が必要ない理由を誰かが説明してくれることを本当に望んでいます。
私が尋ねる理由は、Rails がすべてのフォームに CSRF トークンを挿入しない100% クライアント側アプリケーション(ember.js)で CSRF トークンを生成する方法があるかどうかを調べようとしているからです。JavaScript を使用して Cookie に書き込むことはもちろん、さまざまな値をハッシュすることもできます。
JavaScript を使用してクライアント側で Cookie を生成し、サーバー側のシークレットを使用せず、サーバー上で検証できる方法がある場合は、お知らせください。