rails2系はえらい子なのでCSRFを自動的に防止してくれます。 app/controllers/application.rbに protect_from_forgery # :secret => 'ないしょ' とかいとくだけでget以外のときに自動的にトークンを埋め込み不正な遷移かどうか確認してくれます。なんとも出来る子です。しかし、この機能とセッションタイムアウトの設定を同時に使うとなんともエラーが発生してしまう。 この機能はaction_controller/request_forgery_protection.rbの中でセッションの中のダイジェストとクライアントから送られてきたダイジェストが同じかどうかを判断しているのですが、セッションタイムアウトが働いているとこの時点でセッションが空っぽになっている。なのでCSRFエラーとなりActionController::InvalidA