CORS tüm origin'lere açık, bunun anlamı herhangi bir web sitesi API'yi network tabından görüp çağırabilir. İstenmeyen kullanımlar ve API maliyetleri olabilir. (Kötü niyetli biri tüm API limitlerini tüketebilir)
Mutlaka rate limiting eklenmeli ki kötü niyetli kişiler API' ye sürekli istek atıp sisteme zarar vermesinler. (Kişinin kötü niyetli olmasına da gerek yok aslında, sitedeki bir bug bile sorunlara sebep olabilir. Birisi bir dakikada binlerce istek atarsa hem server çöker hem de arkadaki yapay zeka maliyeti yüksek gelir)
Input validation olmalı. Yani name, question, selectedCards ve cardOrientations parametreleri kontrol edilmeli. (Kullanıcı garip karakterler veya çok uzun string'ler gönderirse server çökebilir, ya da SQL injection gibi saldırılara açık olur)
Kart index'leri doğrulanmalı. (Yani kullanıcı -1 veya 10000 gibi bir index gönderirse proje hata verir ve çökebilir)