Para la OWASP guide (la guía de seguridad de aplicaciones web de la que ya os hablamos) se está realizando una sección sobre AJAX. Es interesante leer algunas conclusiones preliminares que se comentan en la lista de correo webappsec:

• Es un servicio web ligero
  Por lo tanto debe tenerse en cuenta temas de autenticación.

• Validación de los parámetros
  El hecho de que las conexiones se realicen de modo oculto al usuario no hace que no se puedan utilizar las llamadas AJAX con cualquier parámetro. Por lo tanto aplica el mantra de validar cualquier cosa que nos llega del navegador.

• Utilícese SSL cuando sea necesario
  Si se transmite información privada, tanto hacia el usuario como hacia el servidor, la conexión AJAX debe mantenerse bajo SSL.

• Gestiones rápidas y simples
  Sobre todo si el trabajo se realiza para usuarios no autenticados, debe mantenerse el trabajo AJAX lo más sencillo y rápido posible. Sino, las conexiones podrán ser utilizadas para hacer un ataque DoS (Denial of Service)