Un attacco CSRF può avvenire solo quando i cookie (o altri meccanismi di autenticazione) vengono forniti automaticamente dal client. Cioè, dove il cliente ha accesso ai cookie da più domini (come un browser Web che memorizza i cookie per ogni sito che visiti).
Tuttavia, un'app mobile contenente un visualizzatore Web in genere avrà solo i cookie per il proprio sistema. I cookie non saranno condivisi con altre applicazioni utilizzando lo stesso controllo del visualizzatore Web. Tutto ciò che viene caricato dal sistema di archiviazione sarà anche isolato l'uno dall'altro: Android e iOS dispongono di controlli di sicurezza che impediscono alle app di leggere i dati di altre app. Pertanto, CSRF non è probabile all'interno di un'applicazione mobile.
L'XSS potrebbe comunque rappresentare un problema, dal momento che qualsiasi cosa visualizzata in una pagina web visualizzata da un'app in cui JavaScript è abilitato potrebbe causare l'esecuzione di codice JavaScript se tale difetto esiste, proprio come all'interno di un browser web.