hi

ja stimmt, das habe ich irgendwie völlig übersehen 😟

Mhh, wenn ich aber getallheaders(); im PHP Script verwende und das Script nur ausführe, wenn der Referer der URL der HTML Seite mit dem JQuery Script entspricht, welches die Daten vom PHP Script anfordert?! Oder könnte man das auch leicht "austricksen"?

Außer Referrer kannst Du beliebige Custom-Header senden und serverseitig prüfen:

xhr.setRequestHeader('x-load','1'),
daraus wird in der Serverumgebung:
HTTP_X_LOAD

Dann mach nicht ein GET auf den URL welcher die Datei ausliefert, sondern ein POST oder ein PUT, vielleicht sogar ein DELETE oder ein PATCH und mach den Request auf denselben URL wie Deine Anwendung.

Und wenn Du mit FetchAPI arbeitest, kannst Du auch die Requestmethode frei benennen, z.B. APFEL oder ZITRONE.

Dann ist der Gegner komplett verwirrt 😉

Und ja, ich habe das getestet, es funktioniert tatsächlich.

MfG

PS: Am Einfachsten, Du schickst die Session-ID mit dem AJAX Request. Die kann man nicht so ohne Weiteres im Vorbeigehen faken.