PHP如何判断一个请求是不是来源于本域并且是ajax请求？

Posted 2023-03-30

通过请求头的Referer属性可以获取来源，X-Requested-With属性（不代表ajax一定需要这个请求头属性）可以判断是否是ajax。但是请求头这种东西，也知道的，很容易伪造。如果仅仅是做业务上的判断，请求头就够了。 参考技术A 请自行验证一下
jquery中对于ajax是这样写的，xhr对象有setRequestHeader这个方法，设置头部：

if ( !options.crossDomain && !headers["X-Requested-With"] )
headers["X-Requested-With"] = "XMLHttpRequest";

// Set headers
for ( i in headers )
xhr.setRequestHeader( i, headers[ i ] );


所以如果在php端验证的话，是这样的：

public static function isAjax()
return 'XMLHttpRequest' == @$_SERVER['HTTP_X_REQUESTED_WITH'];

php 怎么判断是不是ajax请求

思路：在你进行ajax请求的时候，设置一个文件头信息的变量，在php端判断这个信息是否存在以及是否等于自己设置的值，就可以知道是否是ajax请求了。

做法：js端发送头信息
对象.setRequestHeader("变量名","变量值");
如 xmlHttp..setRequestHeader("X_REQUESTED_WITH","XMLHttpRequest");
php端接受信息，注意此时接受的变量存在 $_SERVER['HTTP_变量名'];中，
如上面的例子则为$_SERVER['HTTP_X_REQUESTED_WITH'];
echo isset($_SERVER['HTTP_X_REQUESTED_WITH'])&&($_SERVER['HTTP_X_REQUESTED_WITH']=='XMLHttpRequest')?'it is ajax':'it is not ajax';

注释：js和jquery中有些许不同，自己注意一下，再者变量名字不要冲突了

附加：如果这是你自己的网站，你只是自己区别一下的话，这样就可以了，但是，它是防止不了别人盗用你的ajax数据的，因为这些都是可以模拟的，一个好的方法是设计session验证之类的。 参考技术A

jQuery 发出 ajax 请求时，会在请求头部添加一个名为 X-Requested-With 的信息，信息内容为：XMLHttpRequest

在后端可以使用 $_SERVER["HTTP_X_REQUESTED_WITH"] 来获取

如此，可以这样判断

<?php
    if (isset($_SERVER["HTTP_X_REQUESTED_WITH"]) && strtolower($_SERVER["HTTP_X_REQUESTED_WITH"])=="xmlhttprequest")  
        //AJAX 请求逻辑处理
     else 
        // 正常请求处理
    

在使用原生 JavaScript 发出 ajax 请求时，我们也可以给头部添加信息，以方便后端同学进行区分，方法如下：

var xmlhttp=new XMLHttpRequest(); 
xmlhttp.open("GET","index.php",true); 
xmlhttp.setRequestHeader("X-Requested-With","XMLHttpRequest"); 
xmlhttp.send();

本回答被提问者采纳