Я продолжаю читать, что для обеспечения безопасности ajax-запросов мне нужно убедиться, что межсайтовые запросы отключены.На стороне сервера, как именно я могу отключить межсайтовые запросы или проверить, отключены ли они / включены?
Межсайтовые запросы по умолчанию отключены. fyi: взгляните на ту же политику происхождения: http://en.wikipedia.org/wiki/Same_origin_policy
Кросс-домен всегда запрещен из-за Одинаковой политики происхождения .
Что касается вашего JavaScript, который делает XHR и кто-то подделывает его, они одинаковы и их невозможно различить (хотя вы определенно можете сделать это сложнее).
Может быть, кто-то может открыть вашу страницу в гиперссылке, поэтому убедитесь, что http referrer всегда с вашего сайта.