¿a que te refieres con crossdomain?, los ataques XSS y CSRF se resuelven de otros modos, es inutil e ineficiente tener todo un sitio direccionado con AJAX porque no se obtendría un buen SEO.

si quieres detectar que las peticiones solo provengan de AJAX puedes usar esto: http://www.codigogratis.com.ar/-post...jax_o_url.html
aunque creo que codeigniter dispone de una función como isXMLHttpRequest() como la disponen otros fw como symfony