#a20221004ActionControllerInvalidAuthenticityToken { font-size: 16px; margin: auto; max-width: 640px; } #a20221004ActionControllerInvalidAuthenticityToken p { margin-top: 1em; } #a20221004ActionControllerInvalidAuthenticityToken code { background: #dedede; }

Demorei algum tempo. O problema estava ocorrendo apenas em https, não em http. Assim, código de rubi, gemas e versões pareciam estar bem.

mais

Acontece que eu precisava desta linha na minha configuração do apache:

RequestHeader set X_FORWARDED_PROTO 'https' env=HTTPS

Na verdade, dependendo da versão do apache, isso provavelmente funciona melhor:

  RequestHeader set "X-Forwarded-Proto" expr=%{REQUEST_SCHEME}
  RequestHeader set "X-Forwarded-SSL" expr=%{HTTPS}

E para nginx, é algo semelhante:

proxy_set_header X-Forwarded-Proto https;