API CSRF 보호 수정 (highlights_controller)

## 목표
highlights_controller.rb에서 skip_before_action :verify_authenticity_token 제거 후 JS에서 CSRF 토큰 전송하도록 수정

## 현황 (보안 리뷰 발견)
- 심각도: CRITICAL
- 파일: app/controllers/api/bible/highlights_controller.rb:3
- 영향: 공격자가 악성 사이트에서 로그인된 사용자의 하이라이트 데이터 조작 가능

## 수정 방법
1. `skip_before_action :verify_authenticity_token` 제거
2. JS fetch 호출 시 X-CSRF-Token 헤더 포함:
```javascript
headers: {
'Content-Type': 'application/json',
'X-CSRF-Token': document.querySelector('meta[name="csrf-token"]').content
}
```
3. 테스트에서 CSRF 토큰 포함 확인

## 완료 기준
- skip_before_action 제거
- JS에서 CSRF 토큰 전송
- 기존 테스트 통과