Se protéger contre les failles XSS (Cross-Site Scripting) nécessite l'en-tête HTTP X-Content-Type-Options: nosniff
pour toutes les réponses. Intégrez également Content-Type: application/json; charset=utf-8
dans l'en-tête de réponse.
Se protéger contre les failles XSRF (Cross-Site Request Forgery) nécessite l'en-tête HTTP X-XSRF-Protected: 1
pour toutes les requêtes.