AJAX是一種用于實現網頁與服務器端之間無需刷新頁面即可進行數據交互的技術。然而，由于服務器沒有辦法識別每個AJAX請求的來源，存在著一些安全風險。為了解決這個問題，可以使用TOKEN進行驗證。TOKEN是一種由服務器生成的令牌，每次發送AJAX請求時都要攜帶該令牌，服務器會對令牌進行驗證，以確保請求來自合法的來源。使用AJAX加TOKEN驗證的方法可以更好地確保網站的安全性和數據的完整性。

舉例：假設有一個在線購物網站，用戶可以通過AJAX請求添加商品到購物車中。如果沒有TOKEN驗證，用戶可以通過編寫惡意代碼來模擬AJAX請求，并添加大量的商品到購物車，從而占用服務器資源或造成數據混亂。通過使用TOKEN驗證，服務器可以辨別真正的AJAX請求和惡意請求，只接受合法的請求。

為了實現AJAX加TOKEN驗證，首先需要在服務器端生成TOKEN并將其返回給客戶端。客戶端在每次發送AJAX請求時，需要在請求中攜帶該TOKEN。服務器在接收到AJAX請求后，會對TOKEN進行驗證。驗證的具體步驟如下：

<?php
// 服務器端生成TOKEN的代碼
session_start();
$token = md5(uniqid(rand(), true));
$_SESSION['token'] = $token;
echo $token;
?>

上述代碼首先開啟會話并生成一個唯一的TOKEN，然后將TOKEN存儲在服務器端的會話中。在生成TOKEN后，服務器將其返回給客戶端。客戶端接收到TOKEN后，將其存儲在一個全局變量中。

var token = '';
// 發送AJAX請求獲取TOKEN
function getToken() {
var xhr = new XMLHttpRequest();
xhr.open('GET', 'get_token.php', true);
xhr.onreadystatechange = function() {
if (xhr.readyState === 4 && xhr.status === 200) {
token = xhr.responseText;
}
};
xhr.send();
}

上述代碼通過發送AJAX請求到服務器端的get_token.php文件來獲取TOKEN。當服務器返回200狀態碼時，表示請求成功，并將返回的結果存儲在全局變量token中。

// 發送AJAX請求并添加商品到購物車中
function addToCart(item) {
var xhr = new XMLHttpRequest();
xhr.open('POST', 'add_to_cart.php', true);
xhr.setRequestHeader('X-CSRF-Token', token); // 在請求頭中添加TOKEN
xhr.onreadystatechange = function() {
if (xhr.readyState === 4 && xhr.status === 200) {
// 處理返回結果
}
};
xhr.send();
}

在發送AJAX請求時，需要將TOKEN添加到請求頭中，以確保服務器可以正確驗證請求的來源。這樣，服務器在處理請求時，會首先驗證請求頭中的TOKEN是否與服務器端存儲的TOKEN一致。如果一致，表示請求合法，并繼續處理；否則，服務器會拒絕該請求，從而保護網站的安全。

總結：AJAX加TOKEN驗證可以有效地防止惡意請求，保護網站的安全性。通過使用TOKEN驗證，服務器可以識別真實的AJAX請求和惡意請求，攔截并拒絕惡意請求，從而保障數據的完整性和網站的正常運行。