منع الوصول المباشر إلى الملفات التي يتم الوصول إليها عبر AJAX

عند الوصول إلى ملف PHP من خلال طلب AJAX، مثل "func.php"، يمكن أن يكون الوصول المباشر إلى هذا الملف مصدر قلق أمني. لمعالجة هذه المشكلة، من الضروري تنفيذ آلية تفرق بين طلبات AJAX ومحاولات الوصول المباشر.

أحد الحلول الفعالة هو الاستفادة من متغير الخادم "HTTP_X_REQUESTED_WITH". تقوم معظم أطر عمل AJAX بتعيين هذا الرأس إلى "XMLHttpRequest"، مما يوفر طريقة للتمييز بين طلبات AJAX الأصلية والوصول المباشر إلى المتصفح. يمكن تنفيذ فحص الرأس هذا في ملف PHP على النحو التالي:

if (isset($_SERVER['HTTP_X_REQUESTED_WITH']) && ($_SERVER['HTTP_X_REQUESTED_WITH'] == 'XMLHttpRequest')) {
    // Allow access...
} else {
    // Ignore or deny access...
}

من خلال تنفيذ هذا الفحص، يمكنك التأكد من أن طلبات AJAX المشروعة فقط هي التي يمكنها الوصول إلى الملف المحدد، وحمايته من الوصول المباشر غير المصرح به.

بالإضافة إلى ذلك، لتعزيز الأمان، يمكنك ضبط الإعداد يدويًا. رأس "X-Requested-With" في طلب AJAX الخاص بك باستخدام كود JavaScript التالي:

var xhrobj = new XMLHttpRequest();
xhrobj.setRequestHeader("X-Requested-With", "XMLHttpRequest");

تعزز هذه الخطوة الحماية ضد الوصول المباشر إلى الملفات.