Php mvc controllernek a főoldalt kéne betöltenie, helyette listázza a mappát?

1. Erős a gyanúm, hogy a rewriterule -od nem működik.

2. Ilyet ne tegyél. Helyesen kivitelezve, a kontrollered egyrészt csak a megfelelően megadott paraméterekkel működik, másrészt nem tud róla, illetve nem is érdekli, hogy a kliens, akinek válaszol egy AJAX kérést küldő böngésző, vagy egy kézzel hadonászó user, avagy valaki, aki a telnettel játszik. Értelme sem nagyon volna. Biztonsági kérdést semmiképpen ne alapozz arra, hogy "az ajax request úgysem látszik a felhasználó felé".

3. Ha .htaccess segítségével leütöd az URL-t, akkor az az AJAX requesteket is érinti, mivel protokoll szinten nincs különbség az AJAX -os és a hagyományos kérések közt (ezért is nem tudod külön erre szolgáló kód nélkül megkülönböztetni). Gyakorlatilag a service -ed sem volna elérhető.

Biztonság tekintében legyen kifejezett autentikáció (user accounts), illetve autorizáció (access rights), ha pedig a user "hülyeséget lát", mert hülyeséget csinál (i.e. a tartalom elérésére jogosult, de semmi értelme egy JSON vagy XML response nézegetésének), az nem a te sarad, és nem is érdemes energiát fektetni az elhárításába.

"controllerben nincs írva semmi pl az 'img'-re, else ágon pedig meg van adva a főoldal"

Ilyet pedig végképp ne tegyél, mert ez így nem controller, hanem már össze is mostad a modelt, a view -t, és a controllert. A view (és csakis a view) feladata a kimenet meghatározása az általa kapott adatok alapján, a model feladata az alkalmazás üzleti logikájának implementálása, a kontrolleré pedig a beérkező (előfeldolgozott) kérések alapján az üzleti logika működtetése, valamint a kapott eredmény átadása a view -nak.

Remélem, segítettem. Ha van még kérdésed, nagyon szívesen válaszolok, legjobb tudásom szerint.