כדי להגן מפני פרצת אבטחה XSS (cross-site scripting), נדרשת כותרת ה-HTTP X-Content-Type-Options: nosniff עבור כל התגובות. יש לכלול גם את Content-Type: application/json; charset=utf-8 בכותרת התגובה.
כדי להגן מפני זיוף בקשות בין אתרים (XSRF), נדרשת כותרת HTTP X-XSRF-Protected: 1 לכל הבקשות.