Om en inkommande request saknar en giltig session så bör ju ditt backend inte returnera nånting.
här finns en teknik för att hantera detta beskrivet
http://ennuidesign.com/blog/Creating...cratch+Part+9/
man fixar altså ett unikt värde:
$_SESSION['token'] = md5(uniqid(rand(), TRUE));
Sen sätter man detta värde i ett dolt formulärfält på alla dina sidor.
Finns inte "token värdet" med i requesten så skickar man bara tillbaka en tom sida
if ( $_POST['token'] == $_SESSION['token']