Supongo que por aplicaciones Json te refieres a un servicio web (API HTTP) que solo acepta el tipo de contenido JSON para las solicitudes entrantes. Básicamente, es correcto que si comprueba el tipo de contenido JSON en todas sus solicitudes, CSRF no sería posible ya que los formularios HTML solo envían los tipos de contenido codificados en url / datos de formulario / texto sin formato y las solicitudes AJAX están bloqueadas por el navegador gracias a la misma política de origen. .
Tengo entendido que esta es una medida de seguridad adicional, aplicada como un marco automático que agrega la protección CSRF a todas las solicitudes entrantes, por lo que cubre algunas implementaciones de llamadas a la API que olvidaron validar el tipo de contenido, como las solicitudes GET que no No acepte ningún contenido o permita el uso de diferentes tipos de contenido en la API.
Por cierto, el archivo crossdomain.xml al que hizo referencia es una plataforma específica para Flash y Silverlight. La tecnología correspondiente en la terminología HTTP se llama CORS (intercambio de recursos de origen cruzado) y uno debe asegurarse de que el servidor no habilite CORS para que su suposición sea correcta.