只有当客户端自动提供 cookie（或其他身份验证机制）时，才会发生 CSRF 攻击。也就是说，客户端可以访问来自多个域的 cookie（例如为您访问的每个站点存储 cookie 的 Web 浏览器）。

但是，包含 Web 查看器的移动应用程序通常只有其自身系统的 cookie。cookie 不会与使用相同 Web 查看器控件的其他应用程序共享。从文件系统加载的任何内容也将相互隔离：Android 和 iOS 具有安全控制，因此应用程序无法读取其他应用程序的数据。因此 CSRF 不太可能出现在移动应用程序中。

XSS 仍然可能是一个问题，因为启用 JavaScript 的应用程序显示的网页中呈现的任何内容都可能导致 JavaScript 代码执行，如果存在此类缺陷，就像在 Web 浏览器中一样。

XSS 通常是对服务器的攻击。除非您的手机正在为外部连接提供网页服务，否则这应该不是问题。如果为手机提供页面的服务器易受攻击，那么 XSS 与普通网站相同——除了可能更难诱骗某人点击链接。除非您的应用程序从其他不受信任的来源（文件、用户输入、跨域消息）获取数据并以非转义方式显示 - 见下文。

CSRF 依赖于获取一个有效的会话，因此它依赖于浏览器组件实现的沙箱。如果这是可能的，我会感到非常惊讶，除非你没有很好地实现 jsonp，或者 window.postMessage 调用或类似的。（有关更多想法，请参阅：https ://www.owasp.org/index.php/HTML5_Security_Cheat_Sheet）