Предотвращение прямого доступа к файлам, доступ к которым осуществляется через AJAX

При доступе к файлу PHP через запрос AJAX, например "func.php", прямой доступ к этому файлу может быть проблемой безопасности. Чтобы решить эту проблему, крайне важно реализовать механизм, который различает запросы AJAX и попытки прямого доступа.

Одним из эффективных решений является использование серверной переменной «HTTP_X_REQUESTED_WITH». Большинство платформ AJAX устанавливают для этого заголовка значение «XMLHttpRequest», что позволяет отличить подлинные запросы AJAX от прямого доступа через браузер. Эту проверку заголовка можно реализовать в файле PHP следующим образом:

if (isset($_SERVER['HTTP_X_REQUESTED_WITH']) && ($_SERVER['HTTP_X_REQUESTED_WITH'] == 'XMLHttpRequest')) {
    // Allow access...
} else {
    // Ignore or deny access...
}

Реализуя эту проверку, вы можете гарантировать, что только законные запросы AJAX смогут получить доступ к указанному файлу, защитив его от несанкционированного прямого доступа.

Кроме того, для повышения безопасности вы можете вручную установить Заголовок «X-Requested-With» в вашем запросе AJAX с использованием следующего кода JavaScript:

var xhrobj = new XMLHttpRequest();
xhrobj.setRequestHeader("X-Requested-With", "XMLHttpRequest");

Этот шаг еще больше усиливает защиту от прямого доступа к файлам.