我可以禁止跨域PHP执行吗？

（（Env：Linux和Windows Apache）当前的标准允许任何人都可以执行PHP文件，甚至可以在远程计算机上执行（例如，使用带有URL的PHP​​ Include，或使用浏览器的地址栏，或使用cURL等）。它们可以被.htaccess或httpd.config文件阻止，但不能以这种方式可靠地阻止跨域访问。看来Apache无法确定何时代表同一域中的另一个文件访问文件！不，“引荐来源网址”值不可靠。

是否有任何一种vious回的方式来阻止文件A.php的跨域PHP执行，同时仍然允许同域Ajax进行访问？例如，如果调用PHP文件B.php（在同一域中）将包含秘密密码的arg作为GET或POST arg传递给A.php，该怎么办？恶意用户无法查看任何PHP文件的内容，也无法拦截HTTPS PHP Include访问，因此，他们必须在不实际进入服务器帐户的情况下才能学习秘密。这样行吗？如果没有，还有其他方法吗？还是更简单或更安全的方式？

（如果从远程计算机隐藏A.php对您来说似乎毫无意义，请想象A.php返回公司机密或磁盘上任何文件的内容。）

（（我还使用JavaScript Ajax从同一域中的HTML文件调用的JavaScript文件访问JavaScript文件A.php，这阻止了我上面编写的简单密码设计；否则，Ajax访问不是问题，因为这样的访问默认已被浏览器内置的跨域Ajax保护远程禁止。阻止我的密码设计的原因是JavaScript文件可以作为文本远程下载，因此，与CSS文件一样，它们也不安全。）

这里有一个重复的问题，指出这种保护无法完成。我想相信这不是真的，现代安全性并不是那么僵硬。

添加3/28/20：

这个问题的核心是A.php通过使用“ echo”生成响应文本将其数据返回给Ajax。由于A.php可以被任何人调用（必须是公共的才能被Ajax调用），因此它的响应数据始终是公共的，如果数据是私有的，则很危险。通过使A.php将其响应写入受保护目录中的文件，可以确保Ajax的安全。然后其输出是私有的（仅PHP可以访问）。问题仍然存在：由于JavaScript无法读取文件，因此如何将文件内容路由到Ajax响应。

我们确实需要一个基于标准的解决方案，该解决方案应允许Ajax在同一域中调用时访问PHP文件的输出，但不允许任何人在其他域中访问该PHP文件的输出。换句话说，可以选择禁止跨域访问PHP文件输出。 （“输出”表示执行输出，而不是特殊的PHP括号内的文本！）

包括一个随机数作为参数（Rasclatt解决方案）是一个好的开始。必须将随机数安全地传递到Ajax代码中，也就是在PHP内部，并通过PHP分别发送给A.php。我不确定这项簿记工作的细节。我什至不能确定设计本身是否可行，因为恶意用户仍然可以拦截HTML或JS来查找当前的随机数，并使用自己的参数成功调用A.php并捕获响应。