Se protéger contre les failles XSS (Cross-Site Scripting) nécessite l'en-tête HTTP X-Content-Type-Options: nosniff pour toutes les réponses. Intégrez également Content-Type: application/json; charset=utf-8 dans l'en-tête de réponse.
Se protéger contre les failles XSRF (Cross-Site Request Forgery) nécessite l'en-tête HTTP X-XSRF-Protected: 1 pour toutes les requêtes.