безопасность безопасно отключить токены csrf для вызовов json rails?
У меня есть существующий веб-сайт rails backend, который делает вызовы json на сервер. Сейчас я разрабатываю мобильное приложение для iOS, чтобы использовать тот же бэкэнд и отправлять вызовы в формате json. Тем не менее, мобильные запросы не работают с:
WARNING: Can't verify CSRF token authenticity
Обращаясь к stackoverflow, многие предлагали отключить проверки csrf для вызовов json, используя что-то вроде этого:
# Or this in your application_controller.rb
def verified_request?
if request.content_type == "application/json"
true
else
super()
end
end
Но мой вопрос, я не понимаю, как это предотвращает CSR-атаки в формате JSON? Атакующий всегда может отправить запрос json в нашу конечную точку со своего сайта. У кого-нибудь есть понимание этого? Я не смог найти четкого ответа на этот вопрос.