原因はこれじゃないか！？
Rails 3.0.4と2.3.11からXHRリクエストの際もCSRFトークンの検証が必須になったので注意

ということで何も意識しないとCSRF対策にひっかかるので、crsf-tokenを渡そう。

        var csrfToken = $('meta[name="csrf-token"]').attr('content');
        var data = {
          authenticity_token: csrfToken,
          fuga : {
            moge: "moge"
          }
        }

        $.ajax({
          type: "POST",
          url: "/fugo",
          data: data,
          success: function(res){
               alert("success");
          }
        });         

あと、POSTデータを１つ多くくるんでいるのは、controller側で、

Model.create!(params[:fuga])

ってやりたいからだ！

じゃあ！