Rails 2.3.12 записывает токен csrf в сеанс, который не запрашивается

Question

Я не использую protect_from_forgery в моем контроллере приложений, и в моей среде разработки он работает как положено, сеанс не генерируется. Но в производственной среде токен CSRF записывается в сеанс.

Session.inspect дает

{:_csrf_token => "duY6ATHEBzYXzg8aXdNF6CZYXicPhlFQdDodjREMwAM=",
 :session_id => "25728f624574a1d831b4510b2e7f6c92"}

Почему это происходит?

Answer 1

Я обнаружил, что в одной части у меня есть

<% form_tag session_path, :method => :post do -%>

и записывает _csrf_token в сессию.