Возможно ответ кому-то пригодится:
Не смотрите в сторону CSRF - он не для Api!
У Laravel есть в route/api.php , который не проверяет CSRF
Route::post('/post/{id}','IndexController@post');
В контроллере проверяйте:
public function post(Request $request){
// например json
$post = json_encode($request->all(), JSON_UNESCAPED_UNICODE);
//...
}
В /route/api.php вы можете делать пост запросы без проверок и не только. Главное, в контроллере обрабатывайте их правильно.
А лучше всего почитайте про API Laravel.