Rails 4.2 проверяет ранее использовавшиеся authenticity_tokens?

Я новичок в Rails и проверял, блокирует ли веб-приложение, которое я пытаюсь отлаживать, отправку форм с внешних страниц. Я обнаружил, что в моей среде разработки это позволяет отправлять формы при использовании ранее сгенерированного токена аутентификации из того же сеанса, даже если используемый токен не соответствует значениям последнего сгенерированного токена. Если я либо меняю символ в токене, либо использую токен из предыдущего сеанса, он блокирует отправку.

Это то, как это должно вести себя? Это не соответствует тому, что я ожидал, основываясь на других вопросах на этом форуме и в других местах.

Форма, которую я использовал для проверки этого поведения, находится в отдельном файле HTML, который не связан с приложением. Это приложение работает на localhost:3000,

Я пробовал оба следующих:

class ApplicationController < ActionController::Base
  protect_from_forgery
  ...
end

ИЛИ ЖЕ

class ApplicationController < ActionController::Base
  protect_from_forgery with: :exception
  ...
end

И я пробовал как с, так и без csrf_meta_tags в макете.

Приложение было обновлено до Rails 4.2, но изначально оно было создано в Rails 2.

Спасибо за совет!