FastAPICác lỗi hay gặp: expose field nhạy cảm vì thiếu response model, wildcard CORS với credentials, JWT expiry quá dài, thiếu rate limit, thiếu authorization ở object-level, log token/PII, upload file không giới hạn, và tin header từ proxy khi chưa cấu hình trusted proxy.
Cách phòng tránh: schema response rõ, dependency auth/permission dùng lại, secret manager, security headers ở reverse proxy, request size limit, rate limiting, audit log và test negative cases cho endpoint quan trọng.