AJAX 経由でアクセスされるファイルへの直接アクセスの防止

「func.php」などの AJAX リクエストを通じて PHP ファイルにアクセスする場合、そのファイルに直接アクセスすると、セキュリティ上の懸念が生じる可能性があります。この問題に対処するには、AJAX リクエストと直接アクセスの試みを区別するメカニズムを実装することが重要です。

効果的な解決策の 1 つは、「HTTP_X_REQUESTED_WITH」サーバー変数を活用することです。ほとんどの AJAX フレームワークは、このヘッダーを「XMLHttpRequest」に設定し、本物の AJAX リクエストと直接ブラウザー アクセスを区別する方法を提供します。このヘッダー チェックは、次のように PHP ファイルに実装できます。

if (isset($_SERVER['HTTP_X_REQUESTED_WITH']) && ($_SERVER['HTTP_X_REQUESTED_WITH'] == 'XMLHttpRequest')) {
    // Allow access...
} else {
    // Ignore or deny access...
}

このチェックを実装すると、正当な AJAX リクエストのみが指定されたファイルにアクセスできるようになり、不正な直接アクセスからファイルを保護できます。

さらに、セキュリティを強化するために、次の JavaScript コードを使用して、AJAX リクエストの「X-Requested-With」ヘッダーを作成します。

var xhrobj = new XMLHttpRequest();
xhrobj.setRequestHeader("X-Requested-With", "XMLHttpRequest");

このステップにより、ファイルへの直接アクセスに対する保護がさらに強化されます。