[eg0master]

Eftersom du generar sidan som skall göra ajax anropet kan du ju t.ex. generera en liten biljett som du sedan skickar med ditt anrop från javascript. Jag menar alltså att när sidan genereras så skapar du i databasen en liten nyckel (slumptal t.ex.) som måste finnas med då URLen som skall hämtas med javascript anropas. Giltighetstiden på denna nyckel kan ju vara ganska kort.

Ett an nat sätt är ju självklart att använda sig av en referer-kontroll, men det kjan ju alltid fejkas (och jag vet inte om requesten från javascript lägger på det default). Men referer kan som sagt alltid fejkas enkelt.

Värt att notera är även att t.ex. firefox normalt inte tillåter att man från javascript accessar en annan host en just den sidan kommer ifrån. Dvs FF tillåter inte att du från sidan frontend.se via javascript gör en request mot backend.se även om det är samma maskin. frontend.se/some/other/script går ju dock självklart bra.