¿Seguridad segura para deshabilitar tokens csrf para llamadas de json rails?

Tengo un sitio web de rieles backend existente que hace llamadas json al servidor. Ahora, estoy desarrollando una aplicación móvil de iOS para usar el mismo backend y enviar llamadas en json. Sin embargo, las solicitudes móviles están fallando con:

WARNING: Can't verify CSRF token authenticity

Buscando alrededor de stackoverflow, muchos sugirieron deshabilitar las comprobaciones de csrf para las llamadas json utilizando algo como esto:

# Or this in your application_controller.rb
def verified_request?
  if request.content_type == "application/json"
    true
  else
    super()
  end
end

Pero mi pregunta es, no entiendo cómo evita esto los ataques csrf en formato json? El atacante siempre puede enviar una solicitud json a nuestro punto final desde su sitio. ¿Alguien tiene ideas sobre esto? No pude encontrar una respuesta clara a esto.

Respuestas a la pregunta(3)

Su respuesta a la pregunta