AJAX를 통해 액세스되는 파일에 대한 직접 액세스 방지

"func.php"와 같은 AJAX 요청을 통해 PHP 파일에 액세스할 때, 해당 파일에 직접 액세스하면 보안 문제가 발생할 수 있습니다. 이 문제를 해결하려면 AJAX 요청과 직접 액세스 시도를 구별하는 메커니즘을 구현하는 것이 중요합니다.

효과적인 솔루션 중 하나는 "HTTP_X_REQUESTED_WITH" 서버 변수를 활용하는 것입니다. 대부분의 AJAX 프레임워크는 이 헤더를 "XMLHttpRequest"로 설정하여 실제 AJAX 요청과 직접 브라우저 액세스를 구별하는 방법을 제공합니다. 이 헤더 확인은 다음과 같이 PHP 파일에서 구현될 수 있습니다:

if (isset($_SERVER['HTTP_X_REQUESTED_WITH']) && ($_SERVER['HTTP_X_REQUESTED_WITH'] == 'XMLHttpRequest')) {
    // Allow access...
} else {
    // Ignore or deny access...
}

이 검사를 구현하면 합법적인 AJAX 요청만 지정된 파일에 액세스할 수 있도록 하여 무단 직접 액세스로부터 파일을 보호할 수 있습니다.

또한 보안 강화를 위해 다음 JavaScript 코드를 사용하여 AJAX 요청의 "X-Requested-With" 헤더:

var xhrobj = new XMLHttpRequest();
xhrobj.setRequestHeader("X-Requested-With", "XMLHttpRequest");

이 단계는 직접 파일 액세스에 대한 보호를 더욱 강화합니다.