本記事は、以下ブログに投稿した記事のクロス投稿となります。
https://lanchester-tech-blog.hatenablog.com/entry/2019/10/15/135357

特定のコントローラで検証を無効化する

skip_forgery_protection を使います。
これは skip_before_action :verify_authenticity_token のラッパーなので only: :create 等のオプションを指定できます。

app/controllers/application_controller.rb

class ApplicationController < ActionController::Base
  skip_forgery_protection
end

大本のコントローラで指定して継承先のコントローラで重複して使用はできないので、その場合は protect_from_forgery with: :exception 等を明示的に指定します。

app/controllers/article_controller.rb

class ArticleController < ApplicationController
  protect_from_forgery with: :exception, only: :create

  def create
    # ...
  end
end

検証を完全に無効化する

検証そのものを行わないようにします。

config/application.rb

config.action_controller.allow_forgery_protection = false

検証は行って WARN のログは出さないようにします。

config/application.rb

config.action_controller.log_warning_on_csrf_failure = false

rails 5.2 以降はデフォルトで protect_from_forgery with: :exception となるような変更（https://github.com/rails/rails/commit/ec4a836919c021c0a5cf9ebeebb4db5e02104a55）が入り、ApplicationController からは protect_from_forgery の記述が消されました。

ApplicationController に protect_from_forgery null: :session としても反映されないので以前のように with: :null_session を使いたい場合は以下のようにします。

config/application.rb

config.action_controller.default_protect_from_forgery = false

app/controllers/application_controller.rb

class ApplicationController < ActionController::Base
  # protect_from_forgery に with オプションを渡さない場合は with: :null_session と同等
  protect_from_forgery
end