Do AJAX requests retain PHP Session info? – Stack Overflow
The answer is yes:
Sessions are maintained server-side. As far as the server is concerned, there is no difference between an AJAX request and a regular page request. They are both HTTP requests, and they both contain cookie information in the header in the same way.
ajax 를 이용한 경우에도 session 정보가 유지된다. 그러므로 이를 이용하여 사용자의 session을 확인하고 올바른 요청인지 server side에서 확인하는 과정이 요구된다.