Cross Site Request Forgery (XSRF/CSRF)

"Межсайтовая подделка запроса" доступна, если сервер не проверяет откуда пришёл запрос.

Защита

Как вариант, с первым GET запросом, получать от сервера токен (в cookie) и передавать его со всеми XHR запросами в специальном заголовке. Сервер, в свою очередь, должен проверять все запросы на наличие и корректность токена. Токен должен быть уникальным для каждого пользователя.