Ich habe eine vorhandene Rails-Backend-Website, die JSON-Aufrufe an den Server durchführt. Jetzt entwickle ich eine mobile iOS-App, um dasselbe Backend zu verwenden und Anrufe in JSON zu senden. Mobile Anfragen schlagen jedoch fehl mit:

WARNING: Can't verify CSRF token authenticity

Bei der Suche nach Stackoverflow haben viele vorgeschlagen, die CSRF-Prüfung für JSON-Aufrufe zu deaktivieren, indem sie Folgendes verwenden:

# Or this in your application_controller.rb
def verified_request?
  if request.content_type == "application/json"
    true
  else
    super()
  end
end

Aber meine Frage ist, ich verstehe nicht, wie dies CSRF-Angriffe im JSON-Format verhindert? Angreifer können von ihrer Site aus jederzeit eine JSON-Anfrage an unseren Endpunkt senden. Hat jemand Einblicke in das? Darauf konnte ich keine eindeutige Antwort finden.