bezpieczeństwo bezpieczeństwa, aby wyłączyć tokeny csrf dla połączeń json rails?

Mam już istniejącą witrynę backendu szyny, która wywołuje json na serwerze. Teraz rozwijam aplikację mobilną na iOS, aby korzystać z tego samego zaplecza i wysyłać połączenia w json. Jednak żądania mobilne nie działają z:

WARNING: Can't verify CSRF token authenticity

Szukając w pobliżu stackoverflow, wielu zasugerowało wyłączenie kontroli csrf dla połączeń json za pomocą czegoś takiego:

# Or this in your application_controller.rb
def verified_request?
  if request.content_type == "application/json"
    true
  else
    super()
  end
end

Ale moje pytanie brzmi: nie rozumiem, jak to zapobiega atakom csrf w formacie json? Atakujący może zawsze wysłać prośbę json do naszego punktu końcowego ze swojej strony. Ktoś ma wgląd w to? Nie mogłem znaleźć na to jasnej odpowiedzi.

questionAnswers(3)

yourAnswerToTheQuestion