hi,

* Ich sehe gerade beim Request Header steht Accept auf text/javascript. Kann es sein, dass hier eine Prüfung durchgeführt wird? *

Na chiser!

Deshalb wollte ich mal generell fragen wie man seine "Ajax - JSON zurückliefer Seiten" sicherer machen kann?

Chiser ist der flasche Bgeriff. Aber wenn Du Langeweile hast, könntest Du was bauen, womit diejenige Ressource, wo die Ajaxresponsen rasufeuert, nur unter bestimmten Bedingungen gecallt werden kann, einen conditional request sozusagen. Und das geht so:

Bilde eine Checksumme aus allem, was der Browser so hergibt, also Datum, Bildschirmauflösung, Zeitzone, Browserversion usw. Dieser mdfive-Hugo geht zusammen mit dem window.location.pathname ab zum Server per ajax und wird in eine table eingetragen. Falls Du das nicht schon hast, das ist ein simpler counter, denn wolltest Du doch sowiso schlange mal porgammreiren.

Nochn Ajax, das autocomplete. Schicke denselben Hugo wieder mit und guck serverseitig, ob der mindestens einmal eingetragen ist. Dann kann die Response erfolgen, sonst nicht. Ein State 404 wäre zwar geschwindelt, aber wayne kümmerts. Wenn Du einen echten 404er machen möchtest, geht das über die beretis erwähnte Content-Negotiation, das XHR-Object muss dazu einen extra Request-Header mitsenden und die Responschee-Machine überlegt sich das.

Ho-Ch'ti