Suppongo che per Json Applications intendi un servizio Web (API HTTP) che accetta solo il tipo di contenuto JSON per le richieste in arrivo. Fondamentalmente è corretto che se controlli il tipo di contenuto JSON in tutte le tue richieste CSRF non sarebbe possibile dato che i moduli HTML inviano solo url codificati / dati di form / tipi di contenuto di testo in chiaro e le richieste AJAX sono bloccate dal browser grazie alla stessa politica di origine .
La mia comprensione è che si tratta di una misura di sicurezza aggiuntiva, applicata come un framework automatico che aggiunge la protezione CSRF a tutte le richieste in arrivo, coprendo quindi alcune implementazioni di chiamate API che hanno dimenticato di convalidare il tipo di contenuto come le richieste GET che don ' Accetta qualsiasi contenuto o per consentire l'utilizzo di diversi tipi di contenuto nell'API.
A proposito: il file crossdomain.xml a cui si fa riferimento è specifico per piattaforma Flash e Silverlight. La tecnologia corrispondente nella terminologia HTTP si chiama CORS (cross resource sharing sharing) e bisogna assicurarsi che CORS non sia abilitato dal server in modo che la tua ipotesi sia corretta.