Форум PHP

Я уже порылся на форуме больше 2х часов. Прочитал кучу инфы на схожую тему, но всёравно не смог прояснить для себя один вопрос.
Вначале объясню ситуацию:
ajax-запрос отсылается к php файлу. Необходимо чтобы этот php сценарий определил, что запрос даётся скриптом именно с этого хостинга, т.е. тем скриптом который имеет право получить php-ответ. А другим скриптам должен выдаваться ответ о запрещении доступа к сценарию php.

У меня сразу появилась мысль, что наверняка js-скрипт можно как-то идентифицировать по заголовкам, которые он отправляет в ajax-запросе к php. Вот только не понимаю как можно произвести разбор приходящих к php заголовков.

Вам именно нужно отличить кто инициатор js или нет, или просто проверить на вашем ли хосте инициатор?)

Инициатором может быть тоже js, но другой (хакерский, сторонний).

Так как узнать на каком хосте иницииатор? И возможно ли это подделать потом.

Можно прошить js сессией:)
И вообще AJAX на чужой хост не дает запросы... точнее браузер)

Про то, что ajax не даёт запросов на другой хост я знаю. Это, кстати, не такая уж проблема, если использовать файл-посредник php на родном хосте, который и будет общаться со сторонним php скриптом.

Прошивка сессией ничего не даст, ибо можно так же получить сессионный доступ "левым" хостом. А потом с использвоанием сесии сделать запрос.

Всё-таки хочется услышать ответ а не намёк.

Ну тогда и заголовки тоже можно будет подделать:)

Если человек не будет знать что именно я проверяю в заголовках, то он их и не подделает.
Защита информации так же сильна, когда о её наличии никто не знает.

Какими бы заклинаниями вызвать на помощь хеопса? =)

Получение HTTP-заголовков описывается в ответах на задачу N 13.

Возможно вам проще ориентироваться на IP-адрес хостинга, получая его через элемент суперглобального массива $_SERVER['REMOTE_ADDR'].

Хотя всё это, включая реферер и IP адрес запросившего, можно подделать.
Делайте безопасным сам скрипт, а не подход к нему.