У меня есть существующий веб-сайт rails backend, который делает вызовы json на сервер. Сейчас я разрабатываю мобильное приложение для iOS, чтобы использовать тот же бэкэнд и отправлять вызовы в формате json. Тем не менее, мобильные запросы не работают с:

WARNING: Can't verify CSRF token authenticity

Обращаясь к stackoverflow, многие предлагали отключить проверки csrf для вызовов json, используя что-то вроде этого:

# Or this in your application_controller.rb
def verified_request?
  if request.content_type == "application/json"
    true
  else
    super()
  end
end

Но мой вопрос, я не понимаю, как это предотвращает CSR-атаки в формате JSON? Атакующий всегда может отправить запрос json в нашу конечную точку со своего сайта. У кого-нибудь есть понимание этого? Я не смог найти четкого ответа на этот вопрос.