Connaissez vous le JavaScript Hijacking? Il s'agit d'une méthode qui pirate la protection du code éxécutable par votre navigateur (localisée par nom de domaine). Le pirate crée ou profite de brèches à travers le transfert Asynchrone (XHR, IFrame ou <script>) pour récupérer des données sensibles.
Pour prévenir ce risque, de nombreuses bonnes pratiques sont à suivre, en voici quelques exemples :

• Limiter l'accès aux URL qui renvoient les données non publiques, à l'aide d'une clé pouvant reposer sur l'identifiant de session, ou un paramètre obligatoirement envoyé en POST.
• L'ajout préfixé d'un code au JSON qui doit alors être nettoyé par le client.

La version 1.5.1 de prototype a aussi apporté des améliorations notables pour y faire face :

• Codage et décodage JSON avec evalJSON(true) qui propose un paramètre sanitize pour éviter des attaques XSS (cross-site scripting, le danger de toute approche web2.0).
• Il est de plus hautement conseillé d'envoyer son JSON commenté, et avec le bon header requestHeaders: {Accept: 'application/json'},)