Eu tenho um site de back-end de trilhos existente que faz chamadas de json para o servidor. Agora, estou desenvolvendo um aplicativo iOS móvel para usar o mesmo back-end e enviar chamadas no json. No entanto, as solicitações de celular estão falhando com:

WARNING: Can't verify CSRF token authenticity

Pesquisando em torno do stackoverflow, muitos sugeriram desabilitar as verificações do csrf para chamadas json usando algo como isto:

# Or this in your application_controller.rb
def verified_request?
  if request.content_type == "application/json"
    true
  else
    super()
  end
end

Mas a minha pergunta é, eu não entendo como isso impede ataques CSRF no formato json? O atacante pode sempre enviar uma solicitação json para o nosso endpoint a partir do seu site. Alguém tem insights sobre isso? Não consegui encontrar uma resposta clara para isso.