Estou usando o Rails 3.0.2 que possuiprotect_from_forgery por padrão em application_controller.rb.

Queria acionar umInvalidAuthenticityToken.
Para fazer isso, adicionei este javascript à minha página:

$('input[name=authenticity_token]').val('aaa')

Verificando o DOM com o Firebug, vejo oauthenticity_token campo oculto foi atualizado corretament

Se eu enviar o formulário e verificar o log do servidor, vejo que o parâmetro relativo está definido corretamente como 'aaa'. Eu esperaria obter umInvalidAuthenticityToken enquanto a solicitação é processada como estava correta!

Como isso é possível