人们甚至在Stack Overflow的整个Internet上都指出,检查请求是否为AJAX的一种好方法是执行以下操作:
if (strtolower($_SERVER['HTTP_X_REQUESTED_WITH']) == 'xmlhttprequest' ) {...}
但是,我没有$_SERVER['HTTP_X_REQUESTED_WITH']在官方的PHP文档中看到
当我尝试执行以下操作时:
echo $_SERVER['HTTP_X_REQUESTED_WITH'];
什么也没有输出。
难道我做错了什么?因为我真的很想能够使用$_SERVER['HTTP_X_REQUESTED_WITH']它(如果有)。
Answers:
中的变量$_SERVER实际上不是PHP的一部分,这就是为什么您不会在PHP文档中找到它们的原因。它们由Web服务器准备,然后将其传递给脚本语言。
据我所知,X-Requested-With大多数主要框架的Ajax函数发送的不是全部(例如,Dojo仅在两年前添加了它:#5801)。因此,考虑到@bobince的评论,可以肯定地说,确定一个请求是否为AJAX请求通常不是100%可靠的方法。
唯一100%安全的方法是与请求一起发送预定义的标志(例如GET变量),并让接收页面检查该标志的存在。
Vary困扰您。这不值得麻烦,因为标题的漂亮度只有很小的提高。用一个简单的参数。nocache
$_SERVER开头的密钥HTTP_是从HTTP请求标头生成的。在这种情况下,为X-Requested-With标头。
这是带有示例用法的快速功能:
function isXmlHttpRequest()
{
$header = isset($_SERVER['HTTP_X_REQUESTED_WITH']) ? $_SERVER['HTTP_X_REQUESTED_WITH'] : null;
return ($header === 'XMLHttpRequest');
}
// example - checking our active call
if(!isXmlHttpRequest())
{
echo 'Not an ajax request';
}
else
{
echo 'is an ajax request';
}
$_SERVER['HTTP_X_REQUESTED_WITH']来自何处,在何处设置,以及是否/为什么我们可以真正依靠它。
echo $_SERVER['HTTP_X_REQUESTED_WITH'];
您希望从这样的代码中得到什么?假设您是直接从浏览器运行它,而不是使用AJAX请求。那么,如何设置此标头呢?
那么,对生命,宇宙和一切终极问题的答案-一个HTTP嗅探器!让自己一个,而忘记打印$ _SERVER变量。
Firebug有一个,或者您可能想使用Fiddler HTTP代理或LiveHTTPHeaders Mozilla插件。我很无聊建立链接,但是它很容易用谷歌搜索。
因此,使用HTTP嗅探器,您可以确定任何HTTP标头。
请注意,使用XHR不能阻止任何“直接访问”,因为对服务器的每个HTTP请求都已经是“直接”的。
您也可以指责一些浏览器错误-请参阅此问题及其针对Firefox的解决方案
Firefox在Ajax请求重定向期间不保留自定义标头:ASP.NET MVC解决方案
IE也有缓存问题,这比请求方法的检测更为严重。
无论如何,您都需要添加缓存破坏器以避免缓存,所以为什么不使用另一个标志来指定ajax调用-或更妙的是,您可以使用其他URL,例如http://ajax.mysite.com/endpoint/sevice?
$headers = apache_request_headers();
$is_ajax = (isset($headers['X-Requested-With']) && $headers['X-Requested-With'] == 'XMLHttpRequest');
我同意佩卡。前端和后端之间没有可靠的本机方法可以自动检测客户端是否真的在使用AJAX调用终结点。
对于我自己的用途,我有几种主要的方法来检查客户端是否正在请求我的端点之一:
当我不在跨域上下文中时,可以使用HTTP_X_REQUESTED_WITH。
我正在检查打算处理跨域权限的$ _SERVER ['HTTP_ORIGIN'](从AJAX请求发送),而不是选择“ X-with-with”。大多数时候,我检查请求是否为AJAX请求的主要原因,尤其是由于跨域权限,使用此PHP代码:header('Access-Control-Allow-Origin:'。$ _ SERVER [' HTTP_ORIGIN']);//如果此“ HTTP_ORIGIN”在我的白名单中
我的API希望客户端在少数情况下将数据类型(JSON,HTML等)显式转换为GET或POST var。例如,我检查$ _REQUEST ['ajax']是否不为空或等于期望值。
您必须在ajax请求对象中进行专门设置(也就是说,如果您未使用jQuery之类的框架),而是使用核心Javascript;像这样:
xhr.setRequestHeader("X-Requested-With", "XMLHttpRequest");
xhr您的请求对象在哪里。
然后,PHP现在将$_SERVER像下面这样接收并在全局变量中进行设置:
$_SERVER['HTTP_X_REQUESTED_WITH']
否则,$ _SERVER ['HTTP_X_REQUESTED_WITH']始终为null。
注意:在您的JavaScript中,请确保在打开请求后设置标头。我的意思是后xhr.open()方法。
Vary: X-Requested-With在响应中结合使用此标头,则可能将错误的响应返回给代理用户……这反过来又加剧了IE中的缓存。很多人都会使用X-Requested-With,但是我认为这是一个糟糕的主意。最好在查询参数中传递一个标志,以表示您想要XMLHttp样式(或JSON)响应。