¿Seguridad segura para deshabilitar tokens csrf para llamadas de json rails?
Tengo un sitio web de rieles backend existente que hace llamadas json al servidor. Ahora, estoy desarrollando una aplicación móvil de iOS para usar el mismo backend y enviar llamadas en json. Sin embargo, las solicitudes móviles están fallando con:
WARNING: Can't verify CSRF token authenticity
Buscando alrededor de stackoverflow, muchos sugirieron deshabilitar las comprobaciones de csrf para las llamadas json utilizando algo como esto:
# Or this in your application_controller.rb
def verified_request?
if request.content_type == "application/json"
true
else
super()
end
end
Pero mi pregunta es, no entiendo cómo evita esto los ataques csrf en formato json? El atacante siempre puede enviar una solicitud json a nuestro punto final desde su sitio. ¿Alguien tiene ideas sobre esto? No pude encontrar una respuesta clara a esto.