Отправка массива файловых объектов через AJAX, а не через обычный HTTP-запрос, безопасна, потому что позволяет использовать объект FormData для кодирования двоичных данных перед передачей. 12

Интерфейс FormData позволяет создать набор пар ключ/значение, представляющих поля формы и их значения, которые затем можно отправить с помощью метода fetch() или XMLHttpRequest.send(). 2 Он использует тот же формат, который применяется при отправке файлов на сервер. 2

Если же нужно отправить файлы другим способом, без AJAX, к элементу формы добавляют атрибут enctype='multipart/form-data' и отправляют её как обычно. 1

При этом безопасность использования AJAX-запросов сама по себе не выше, чем у обычных запросов, так как при грамотном использовании HTTPS это может случиться только в результате грубой ошибки в системе безопасности сервера. 4