php如何判断一个请求是AJAX请求？php检测AJAX异步请求的方法-php教程-PHP中文网

php如何判断一个请求是AJAX请求？php检测AJAX异步请求的方法

穿越時空

发布： 2025-09-13 22:43:01

原创

469人浏览过

判断AJAX请求的核心是检查HTTP头中的X-Requested-With字段是否为XMLHttpRequest，可结合自定义请求头或请求体内容辅助判断；但最安全的方式是将该判断与身份验证（如Session、JWT）、授权机制及CSRF保护相结合，确保请求的合法性与安全性。

php如何判断一个请求是ajax请求？php检测ajax异步请求的方法

判断PHP请求是否为AJAX请求，核心在于检查HTTP请求头中的

X-Requested-With

登录后复制

字段。通常，AJAX请求会设置这个字段为

XMLHttpRequest

登录后复制

。

解决方案：

<?php
function is_ajax_request(): bool {
  return (isset($_SERVER['HTTP_X_REQUESTED_WITH']) && strtolower($_SERVER['HTTP_X_REQUESTED_WITH']) === 'xmlhttprequest');
}

if (is_ajax_request()) {
  // 这是 AJAX 请求
  echo "This is an AJAX request.";
} else {
  // 这不是 AJAX 请求
  echo "This is not an AJAX request.";
}
?>

登录后复制

如果

$_SERVER['HTTP_X_REQUESTED_WITH']

登录后复制

存在且值等于

XMLHttpRequest

登录后复制

（忽略大小写），那么就可以认为这是一个AJAX请求。

如何处理不同JavaScript库的AJAX请求，例如jQuery、Axios等？

立即学习“PHP免费学习笔记（深入）”；

不同的JavaScript库在发送AJAX请求时，通常都会设置

X-Requested-With

登录后复制

头，但某些情况下，开发者可能会自定义请求头。因此，除了检查

X-Requested-With

登录后复制

，还可以考虑检查其他自定义的请求头，或者通过请求体的内容来判断。

<?php
function is_ajax_request(): bool {
  if (isset($_SERVER['HTTP_X_REQUESTED_WITH']) && strtolower($_SERVER['HTTP_X_REQUESTED_WITH']) === 'xmlhttprequest') {
    return true;
  }

  // 检查自定义请求头，例如 'X-Custom-Ajax'
  if (isset($_SERVER['HTTP_X_CUSTOM_AJAX']) && $_SERVER['HTTP_X_CUSTOM_AJAX'] === 'true') {
    return true;
  }

  // 还可以通过检查请求体的内容来判断，但这通常不太可靠
  // 例如，检查是否存在特定的参数
  // if (isset($_POST['ajax_param'])) {
  //   return true;
  // }

  return false;
}

if (is_ajax_request()) {
  // 这是 AJAX 请求
  echo "This is an AJAX request.";
} else {
  // 这不是 AJAX 请求
  echo "This is not an AJAX request.";
}
?>

登录后复制

这种方式更灵活，可以适应不同的AJAX请求场景。但需要注意的是，依赖自定义请求头或请求体内容进行判断，可能存在被伪造的风险，所以要谨慎使用。

除了

X-Requested-With

登录后复制

，还有其他更可靠的方法来判断AJAX请求吗？

PatentPal专利申请写作

AI软件来为专利申请自动生成内容

查看详情

严格来说，并没有绝对可靠的方法。

X-Requested-With

登录后复制

可以被篡改，自定义请求头也一样。依赖请求体内容判断，则容易误判。更安全的做法是，在服务器端对请求进行身份验证和授权，确保只有经过授权的用户才能执行特定的操作。

例如，可以使用Session来跟踪用户的状态，或者使用JWT（JSON Web Tokens）来进行身份验证。

<?php
session_start();

function is_authenticated(): bool {
  // 检查用户是否已登录
  return isset($_SESSION['user_id']);
}

if (is_ajax_request() && is_authenticated()) {
  // 这是经过身份验证的 AJAX 请求
  echo "Authenticated AJAX request.";
  // 执行相应的操作
} else {
  // 未经授权的请求
  http_response_code(403); // 返回 403 Forbidden 状态码
  echo "Unauthorized.";
}
?>

登录后复制

这种方式虽然不能直接判断是否为AJAX请求，但可以确保只有经过授权的用户才能执行敏感操作，从而提高安全性。结合

X-Requested-With

登录后复制

检查，可以进一步区分AJAX请求和普通请求。

在实际项目中，如何更好地应用AJAX请求判断，并防止潜在的安全问题？

最佳实践是将AJAX请求判断与身份验证、授权结合起来。不要仅仅依赖

X-Requested-With

登录后复制

头，而是将其作为辅助判断手段。

身份验证： 使用Session、JWT等机制对用户进行身份验证。
授权： 确保只有经过授权的用户才能访问特定的API接口。
输入验证： 对所有接收到的数据进行严格的验证和过滤，防止SQL注入、XSS等安全漏洞。
CSRF保护： 针对POST、PUT、DELETE等修改数据的AJAX请求，实施CSRF（Cross-Site Request Forgery）保护。

<?php
session_start();

// 检查 CSRF token
function is_csrf_valid(): bool {
  if (!isset($_POST['csrf_token']) || !isset($_SESSION['csrf_token'])) {
    return false;
  }
  return hash_equals($_SESSION['csrf_token'], $_POST['csrf_token']);
}

// 生成 CSRF token
function generate_csrf_token(): string {
  $token = bin2hex(random_bytes(32));
  $_SESSION['csrf_token'] = $token;
  return $token;
}

if ($_SERVER['REQUEST_METHOD'] === 'POST' && is_ajax_request() && is_authenticated() && is_csrf_valid()) {
  // 这是经过身份验证和 CSRF 保护的 AJAX 请求
  echo "Authenticated and CSRF-protected AJAX request.";
  // 执行相应的操作
} else {
  // 未经授权的请求
  http_response_code(403); // 返回 403 Forbidden 状态码
  echo "Unauthorized or CSRF token invalid.";
}
?>

登录后复制

在前端，可以在表单中添加一个隐藏的CSRF token字段，并在每次发送AJAX请求时，将该token包含在请求体中。

通过以上措施，可以大大提高AJAX请求的安全性，防止各种潜在的安全风险。记住，安全是一个持续的过程，需要不断地学习和改进。

以上就是php如何判断一个请求是AJAX请求？php检测AJAX异步请求的方法的详细内容，更多请关注php中文网其它相关文章！