问如何防止跨域ajax请求？

EN

有点像建议的user3491125，您可以在调用页面中设置$ _SESSION，并在Ajax调用的页面上检查它是否有例如$ _SESSION ['user']设置。

您可以手动拒绝其Origin标头与您的域名不匹配的每个请求。但是，并非所有浏览器都会发送Origin标头。在这些情况下，您可以回退到Referer[sic]标题，解析它并查找域名，并将其与上面进行比较。

一些JavaScript框架还X-Requested-With为AJAX请求设置了标头。

这应该拒绝相当大比例的用户（我估计> 95％）。请注意，由于Same-Origin策略，向您的域发送AJAX请求的人唯一得到的是时间信息。