Применяются ли CSRF-атаки к API?

В частности, я пишу Django RESTful API для поддержки iOS-приложения и постоянно сталкиваюсь с защитой Django CSRF всякий раз, когда пишу методы для обработки POST-запросов.

Насколько я понимаю, файлы cookie, управляемые iOS, не используются приложениями, а это означает, что мои файлы cookie сеанса безопасны, и никакое другое приложение не может использовать их. Это правда? Если да, могу ли я просто пометить все свои API-функции как освобожденные от CSRF?