Tôi có một trang web sử dụng các cuộc gọi ajax để thực hiện một số chức năng. Họ có webbrowser gọi lại một tập lệnh - ajax.php. Mặc dù tôi sử dụng dữ liệu bài đăng để truyền dữ liệu và giới hạn các lệnh mà tập lệnh ajax có thể gọi, nhưng thực sự không có gì ngăn người dùng giả mạo các cuộc gọi ajax để cố gắng thao túng trang web. Có một số cách để ngăn chặn người dùng giả mạo các cuộc gọi? Có cách nào để đảm bảo rằng một cuộc gọi ajax thực tế đến từ trang web của tôi chứ không phải từ một số tập lệnh hoặc trang web khác không?
Hoặc tôi chỉ đơn giản là phải kiểm tra các điều kiện biên trong tập lệnh php và ngăn người dùng giả mạo những thứ họ sẽ không được phép làm, nhưng cho phép họ giả mạo ở nơi họ sẽ được phép.