Verhindern des direkten Zugriffs auf Dateien, auf die über AJAX zugegriffen wird

Beim Zugriff auf eine PHP-Datei über eine AJAX-Anfrage, z. B. „func.php“, Der direkte Zugriff auf diese Datei kann ein Sicherheitsrisiko darstellen. Um dieses Problem anzugehen, ist es wichtig, einen Mechanismus zu implementieren, der zwischen AJAX-Anfragen und Direktzugriffsversuchen unterscheidet.

Eine effektive Lösung besteht darin, die Servervariable „HTTP_X_REQUESTED_WITH“ zu nutzen. Die meisten AJAX-Frameworks setzen diesen Header auf „XMLHttpRequest“ und bieten so eine Möglichkeit, zwischen echten AJAX-Anfragen und direktem Browserzugriff zu unterscheiden. Diese Header-Prüfung kann wie folgt in der PHP-Datei implementiert werden:

if (isset($_SERVER['HTTP_X_REQUESTED_WITH']) && ($_SERVER['HTTP_X_REQUESTED_WITH'] == 'XMLHttpRequest')) {
    // Allow access...
} else {
    // Ignore or deny access...
}

Durch die Implementierung dieser Prüfung können Sie sicherstellen, dass nur legitime AJAX-Anfragen auf die angegebene Datei zugreifen können, und sie so vor unbefugtem direkten Zugriff schützen.

Zusätzlich können Sie zur Erhöhung der Sicherheit die Datei manuell festlegen „X-Requested-With“-Header in Ihrer AJAX-Anfrage mit dem folgenden JavaScript-Code:

var xhrobj = new XMLHttpRequest();
xhrobj.setRequestHeader("X-Requested-With", "XMLHttpRequest");

Dieser Schritt stärkt den Schutz vor direktem Dateizugriff weiter.