В руководстве по безопасности Angular упоминается префикс ответов JSON от API для защиты от XSSI:
Эта атака успешна, только если возвращаемый JSON исполняется как JavaScript. Серверы могут предотвратить атаку, добавив префикс всех ответов JSON, чтобы сделать их неисполняемыми по соглашению, используя общеизвестную строку ")]} ', \ n".
Часть, которую я не понимаю, заключается в том, что когда вы добавляете такой префикс к ответу JSON, он перестает быть действительным JSON. Разве это не проблема?