У меня есть существующий бэкэнд-сайт rails, который делает json-вызовы на сервер. Теперь я разрабатываю мобильное приложение для iOS, чтобы использовать тот же бэкэнд и отправлять звонки в json. Однако мобильные запросы не выполняются:
WARNING: Can't verify CSRF token authenticity
При поиске в stackoverflow многие предлагали отключить проверку csrf для вызовов json, используя что-то вроде этого:
# Or this in your application_controller.rb
def verified_request?
if request.content_type == "application/json"
true
else
super()
end
end
Но мой вопрос: я не понимаю, как это предотвращает атаки csrf в формате json? Злоумышленник всегда может отправить json-запрос на нашу конечную точку со своего сайта. У кого-нибудь есть понимание этого? Я не мог найти четкого ответа на это.