So beschränken Sie den direkten Zugriff auf von Ajax aufgerufene Dateien

Bei Verwendung von Ajax zum Aufrufen von PHP-Code, wie in der Abfrage dargestellt, werden die Daten Die übertragenen Daten können durch die Untersuchung der Anforderungsheader offengelegt werden. Auch wenn die Daten möglicherweise nicht vertraulich sind, bleibt ihr Potenzial zur Ausnutzung bestehen.

Um dieses Problem auszuräumen, besteht eine gängige Lösung in der Verwendung des HTTP_X_REQUESTED_WITH-Headers. Dieser Header, der normalerweise von Ajax-Anfragen/Frameworks festgelegt wird, ermöglicht die Unterscheidung zwischen Ajax- und Nicht-Ajax-Anfragen. Das folgende Code-Snippet zeigt seine Implementierung:

if (isset($_SERVER['HTTP_X_REQUESTED_WITH']) && ($_SERVER['HTTP_X_REQUESTED_WITH'] == 'XMLHttpRequest')) {
    // Allow access within Ajax requests
} else {
    // Block access outside of Ajax requests
}

Im Javascript-Code können Sie diesen Header manuell festlegen:

var xhrobj = new XMLHttpRequest();
xhrobj.setRequestHeader("X-Requested-With", "XMLHttpRequest");