自分で作った Rails 製ウェブアプリで出会った話ですが、ちょっと原因に悩んだので書いておきます。 概要 Rails 製のウェブアプリのログを眺めていると、しばしば CSRF トークン検証エラーが記録されていました。ログインページでログインする際にデータを POST したときに、 CSRF トークン検証エラーが出たようです。 状況的に、外部から攻撃を受けているわけではなく、ユーザーもブラウザからアクセスしたようでした。 結局のところ、バグなどではなく、期待される挙動だったのですが、ちょっと悩んだので書いておきます。 再現手順 ブラウザ起動後の初回アクセスで、ウェブアプリのページを複数同時に開くと発生します。 「複数同時」というのがポイントです。 具体的には、以下の手順で発生します。 準備として Rails 製ウェブアプリで POST を使う複数のページを、二つブックマークに登録しておきま