Để chống lại tập lệnh trên nhiều trang web (XSS), hãy yêu cầu tiêu đề HTTP X-Content-Type-Options: nosniff
cho tất cả các phản hồi. Ngoài ra, hãy thêm Content-Type: application/json; charset=utf-8
vào tiêu đề phản hồi.
Để chống giả mạo yêu cầu trên nhiều trang web (XSRF), hãy yêu cầu tiêu đề HTTP X-XSRF-Protected: 1
cho tất cả các yêu cầu.