Cómo restringir el acceso directo a archivos llamados por Ajax

Cuando se utiliza Ajax para invocar código PHP, como se ilustra en la consulta, los datos que se transmite puede ser vulnerable a la exposición al examinar los encabezados de las solicitudes. Si bien es posible que los datos no sean confidenciales, su potencial de explotación permanece.

Para abordar este problema, una solución común implica utilizar el encabezado HTTP_X_REQUESTED_WITH. Este encabezado, generalmente establecido por solicitudes/marcos de Ajax, permite la diferenciación entre solicitudes de Ajax y no Ajax. El siguiente fragmento de código muestra su implementación:

if (isset($_SERVER['HTTP_X_REQUESTED_WITH']) && ($_SERVER['HTTP_X_REQUESTED_WITH'] == 'XMLHttpRequest')) {
    // Allow access within Ajax requests
} else {
    // Block access outside of Ajax requests
}

En el código Javascript, puede configurar este encabezado manualmente:

var xhrobj = new XMLHttpRequest();
xhrobj.setRequestHeader("X-Requested-With", "XMLHttpRequest");