Le javascript, au lieu d'appeler directement le fichier XML, appelle le fichier php qui lui renvoie le contenu du fichier XML après avoir fait ses contrôles de sécurité...
Normalement le javascript n'y vois que du feu
Normalement le javascript n'y vois que du feu