Az API-k a támadók célkeresztjébe kerültek a rajtuk áthaladó forgalom mennyisége és tartalma miatt. De a múlt eszközei nem nyújthatnak védelmet a jelen fenyegetései ellen. A legfrissebb OWASP Top 10 lista megmutatta, hogy az elmúlt években korábban ismeretlen fenyegetések váltak elterjedtté:

1. Nem elég biztonságos API-k tervezése (hiányos, vagy nem elég hatékony ellenőrző folyamatok).

2. Szoftver- és adatintegritási problémák (az API-kód és az infrastruktúra nem tud védelmet nyújtani az integritást sértő támadásokkal szemben).

3. Server-side request forgery (röviden SSRF, amikor a webalkalmazás egy távoli szerveren levő erőforrás elérését anélkül dolgozza fel, hogy ellenőrizné a felhasználó által beküldött URL-t).

Az autentikációra és autorizációra építő biztonsági módszerek nem nyújtanak védelmet ezen új fenyegetésekkel szemben. Validálnia kell az API-forgalmát, hogy biztos lehessen abban, az API-végpontokból kiinduló és oda érkező forgalom megfelel a specifikációknak. A forrás ismerete nem jelenti azt, hogy maga az adat nem rosszindulatú, ezért minden kérést és választ egészen a kulcsok szintjéig validálni kell egy biztonsági sémának megfelelően.