Если вы создаете API и хотите принимать запросы от других доменов, вам необходимо отключить этот фильтр безопасности.
Чтобы сделать это, добавьте его в свой контроллер:
skip_before_action :verify_authenticity_token, only: :your_post_action
Вы можете отключить его только для запросов json, см. Этот ответ: https://stackoverflow.com/a/22715175/8352929