Волшебства не бывает. Должен быть какой-то признак, по которому тебя отделяют от "нормального" пользователя. В данном случае - это то, что запускаешь ты запрос не оттуда, откуда надо. Что такое CSRF-защита? Это когда в легальном приложении взводится какой-то секретный ключ, и при попытке действовать от имени левого приложения, ты получаешь фигу. Не все данные ты в данном случае знаешь - запускаешь не оттуда. А манков таких можно ставить много. Я предпочитаю за попытку залезть в определенные директории сразу банить.