Tengo un sitio que utiliza llamadas ajax para realizar una serie de funciones. Tienen la llamada del navegador web a un script: ajax.php. Aunque uso datos de publicación para transmitir los datos y limitar los comandos a los que puede llamar el script ajax, realmente no hay nada que impida a los usuarios suplantar llamadas ajax para intentar manipular el sitio. ¿Hay alguna forma general de evitar que los usuarios falsifiquen las llamadas? ¿Hay alguna manera de garantizar que una llamada ajax en realidad provenga de mi sitio web y no de algún otro script o sitio?
¿O simplemente tengo que verificar las condiciones de contorno en el script php y evitar que los usuarios falsifiquen cosas que no se les permitiría hacer, sino permitirles falsificar donde se les permitiría?