]

Как ограничить прямой доступ к файлам, вызванным Ajax

при использовании Ajax для вызова кода PHP, как показано в запросе, данные передаваемая информация может быть уязвима для раскрытия при проверке заголовков запросов. Хотя данные не могут быть конфиденциальными, их потенциал для эксплуатации остается. Этот заголовок, обычно устанавливаемый запросами/платформами Ajax, позволяет различать запросы Ajax и не-Ajax. Следующий фрагмент кода демонстрирует его реализацию:

if (isset($_SERVER['HTTP_X_REQUESTED_WITH']) && ($_SERVER['HTTP_X_REQUESTED_WITH'] == 'XMLHttpRequest')) { // Разрешаем доступ в запросах Ajax } еще { // Блокируем доступ вне Ajax-запросов }

if (isset($_SERVER['HTTP_X_REQUESTED_WITH']) && ($_SERVER['HTTP_X_REQUESTED_WITH'] == 'XMLHttpRequest')) {
    // Allow access within Ajax requests
} else {
    // Block access outside of Ajax requests
}

var xhrobj = new XMLHttpRequest(); xhrobj.setRequestHeader("X-Requested-With", "XMLHttpRequest");