Un ataque CSRF solo puede ocurrir cuando el cliente proporciona automáticamente las cookies (u otros mecanismos de autenticación). Es decir, donde el cliente tiene acceso a cookies de múltiples dominios (como un navegador web que almacena cookies para cada sitio que visita).
Sin embargo, una aplicación móvil que contiene un visor web normalmente solo tendrá las cookies para su propio sistema. Las cookies no se compartirán con otras aplicaciones utilizando el mismo control de visor web. Cualquier cosa que se cargue desde el sistema de archivo también se aislará entre sí: Android e iOS tienen controles de seguridad para que las aplicaciones no puedan leer los datos de otras aplicaciones. Por lo tanto, no es probable que CSRF esté dentro de una aplicación móvil.
XSS podría seguir siendo un problema, ya que cualquier cosa que se muestre en una página web mostrada por una aplicación donde JavaScript esté habilitado podría causar la ejecución del código JavaScript si existe una falla, como en un navegador web.