#5 楼 @zhangjingqiang 这个不是什么严格的规约,是为了防止 rails 被攻击,csrf 是一种很广泛的攻击方式,rails 的 link_to,form 中透明开启这个防攻击特性。 顺便说一句,rails 作为 framework 提供了很多安全方面的辅助,但是 rails 的简单也导致使用者对相关知识的缺失,我强烈建议 rails 开发人员认真读一下 rails.js 这个文件(有 for prototype 和 for jquery 的,对比阅读更有收获),更进一步,如果有时间,了解一下 web 领域的常见安全知识也很有意义。 ruby 的文化特点应该是减少重复,但不是让自己成为小白,相反,个人认为用 ruby 的人应该有勇气成为精英