m4tu5
commented
8 years ago se puede apagar la protección o bien para toda la app o bien para acciones concretas
para nuestro caso, me parece que lo mejor sería
set :protect_from_csrf, false en app/app.rb
si tenes el formulario abierto mucho tiempo (un par de minutos?) parece que vence el token y cuando cargás algo te tira un error, tenes que volver a atras, recargar el formulario y volver a guardar.
lo mismo cuando queres cargar varias cosas una atras de otra, cuando el controlador te envia de vuelta al formulario el token no se renueva.