お世話になります。
ＲＯＹと申します。

携帯サイトで、セキュリティーコンポーネントを使い tokenを出力しCSRFの
対策にしたいと思っているのですが、ＰＣの場合と、携帯の場合で違う挙動をし
困っています。

入力フォームで「送信」ボタンをクリックすると
ＰＣを使った場合は、blackholeに落ちることはないのですが、
携帯を使った場合は、blackholeに落ちてしまいます。

テストした携帯は、au
ソフトバンクのエミュレータを使用してみました。
どちらもＮＧでした。
ドコモのテストはまだしていません。

何か情報がございましたらご指導お願いします。

携帯は（一部の端末を除いて）クッキーを使えませんので、セッションIDが取得できない＝セッション情報が取得できない＝セッションに登録したはずのトークン値が取得できない　となっているのではないでしょうか？

PHPはphp.ini上の「session.use_trans_sid」が1であれば、クッキーを使用できないブラウザ（端末）の場合は自動でAタグ等にセッションIDをGETパラメータとして付与してくれます。

以下を参考にされてはいかがでしょうか？
CakePHPとは関係ありませんが、PHPで携帯サイトを構築する上での参考になります。
http://ke-tai.org/blog/2007/12/12/php_session_new/

的外れでしたら、申し訳ございません。

同じ問題にぶつかっています。
こちらは、Docomo, SoftBank, AUの実機で行い、
ROYさんと違い、AUのみでCSRFトークンチェックがエラーになります。

ROYさんのところでSoftBankがエラーになる理由は分かりませんが、
AUでの原因は分かりました。

Securityコンポーネントのセキュリティ･トークンは
<fieldset style="display:none"> のフィールドセット要素の
中に出力されますが、AU携帯は、display:noneの要素の中の
入力フォームの値を無視するのです。

参考）WizMobileでxpWikiの章単位編集で不具合
http://www.xugj.org/modules/d3forum/index.php?topic_id=634

Cakeのライブラリの
FormHelper::create(),
FormHelper::secure() （FormHelper::end()で呼ばれる)に
手を入れて、fieldsetの display:none の指定が行われないようにすると、
AUの実機、エミュレータともに、Securityコンポーネントの
CSRFトークンチェックを通るようになります。

しかし、display:noneの指定を外すと、画面にfieldsetが表示され、レイアウトが狂ってしまいます。
かと言って、CSRF対策をしないのも危険でしょう。

皆さんは、どのようにしたら良いとお考えになりますか？

--

最悪、FormHelper::create(), FormHelper::end() の出力するhidden要素を、
fieldset要素なしで出力するようにすれば、
すべてhiddenですから、画面レイアウトに影響はないかもしれません。

しかし、これもできたらやりたくない対処法です。

同様の現象に当たりました。
下記、似たような内容なのでリンクを貼りますね。

$form->createで出力されるfieldsetを消す方法

このようにすると、Formヘルパーに手を入れることなく、解決できました

http://github.com/cakephp/cakephp1x/commit/de7658e78bdd28c1fbbdf3f6f20f49cbf45860ba

他スレッドでも報告しましたが、fieldsetではなくdivを出力するようになりました。
しかし、diplay:noneについてはそのままなので、携帯という特殊環境などではpatorashさんの言うような方法なりをとらなければいけないようです。

----------------
単純な質問はCakeQsも使ってあげてください。
twitter
Blog