Budeme-li předpokládat, že zmíněnou aplikaci má na svědomí kompetentní profesionál, tak se do ní zakázaná data vůbec nedostanou. V odpovědi se běžně posílají údaje o tom, co může klient vidět, ale ty slouží jen k tomu, aby se případně skryly prvky, které by byly prázdné, nebo aby se změnil nějaký text apod. Důsledek změny takové odpovědi by mělo za následek jen to, že by se změnilo zobrazení prvků, ale data ke kterým není přístup tam stejně nebudou.