В частности, я пишу API Django RESTful для поддержки приложения iOS, и я продолжаю работать в защите Django CSRF всякий раз, когда я пишу методы для обработки запросов POST.
Я понимаю, что файлы cookie, управляемые iOS, не распространяются приложениями, что означает, что мои сеансовые файлы cookie безопасны, и никакое другое приложение не может ездить на них. Это правда? Если да, могу ли я просто пометить все мои функции API как освобожденные CSRF?