безопасно ли отключать токены csrf для вызовов json rails?

У меня есть существующий бэкэнд-сайт rails, который делает json-вызовы на сервер. Теперь я разрабатываю мобильное приложение для iOS, чтобы использовать тот же бэкэнд и отправлять звонки в json. Тем не менее, мобильные запросы не выполняются:

WARNING: Can't verify CSRF token authenticity

При поиске в stackoverflow многие предлагали отключить проверку csrf для вызовов json, используя что-то вроде этого:

# Or this in your application_controller.rb
def verified_request?
  if request.content_type == "application/json"
    true
  else
    super()
  end
end

Но мой вопрос: я не понимаю, как это предотвращает атаки csrf в формате json. ? Злоумышленник всегда может отправить запрос json на нашу конечную точку со своего сайта. У кого-нибудь есть понимание этого? Я не мог найти четкого ответа на это.