Во избежание межсайтового скриптинга (XSS) требуется указывать заголовок HTTP X-Content-Type-Options: nosniff во всех ответах. Также содержат Content-Type: application/json; charset=utf-8 в заголовке ответа.
Во избежание межсайтовой поддедки запроса (XSRF) требуется указывать заголовок HTTP X-XSRF-Protected: 1 во всех ответах.