Не используйте получение защищенных куками json данных через GET запрос! Если вы: 1. Используете AJAX GET чтобы получить данные пользователя 2. Для авторизации на этом эндпоинте используете куки 3. Возвращаемые данные в формате JSON То поздравляю, вы уязвимы для json hijacking! Пора поменять хотяб один из этих трех пунктов. Подробности тут: https://habr.com/ru/post/63176/