SPAなどを作っていて、Railsアプリとは別のアプリから
XHRでリクエストするAPIとして利用する場合は、CSRFトークンの検証ができないため、エラーになる。
解決方法
APIで利用するコントローラに
skip_before_action :verify_authenticity_token
を追加すればCSRFトークン検証をスキップすることができる。
ちなみによく
protect_from_forgery with: :null_session
を入れて解決という記事を見かけるがこれだけでは
「csrfトークンがないリクエストを例外にしない」
だけで、解決できないので注意(むしろこれはなくてもOK)