HTML5では、以下のような非同期通信がある。
クロスドメインであるため、それぞれ注意が必要らしい。

XMLHttpRequest Level2
　カスタムヘッダで接続先を制限する。
WebSocket
　クライアント：Originヘッダを検証
　サーバ：渡された情報を検証
　安全な通信を行うWSS
JSON
　サニタイジングを行うこと

HTML5ではデータの保存先もポイント
Cookieの代わりにWebStorageをつかえる

CSP（Contents Security Policy）ヘッダで設定を行うことができる