<br><div class="gmail_quote">2009/7/23 Taryn East <span dir="ltr"><<a href="mailto:teast@globalpersonals.co.uk">teast@globalpersonals.co.uk</a>></span><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Ah sorry - you're right. I got "protect_against_forgery? mixed up with "protect_from_forgery" (similar names are confusing).<br>great - curiosity sated ;)<br></blockquote><div><br>I dug deeper and it turns out we're both right.  If you're rendering a get you never get an auth token, if you're rendering a post you'll get a auth token depending the result of protect_against_forgery?, any other method and you'll always get an auth token.<br>
<br>Sounds like someone should wrap that up into a patch as it seems inconsistent at best.<br><br>Muz<br></div></div>