Хорошая статья о том, как обезопасить свое одностраничное приложение, которое основано на публичном API с авторизацией.
Так как мы повторно изобрели web приложения когда появились одностраничные приложения и frontend фреймворки — мы также должны изобрести новые способы борьбы с уязвимостями этих приложений
Источник: Your API-Centric Web App Is Probably Not Safe Against XSS and CSRF