Когда пользователь выходит из системы, контроллер вызывает session.clear. Но поскольку приложение использует запрос ajax и обновляет состояние вручную, оно все равно использует тот же токен CSRF. Когда пользователь отправляет другую форму без перезагрузки страницы, он теперь получает ActionController::InvalidAuthenticityToken.
Есть ли альтернатива вызову session.clear, которая удалит все из сеанса, кроме токена CSRF?