识别HTTP请求是否为AJAX请求的方法

本文介绍在服务端识别 AJAX 请求的可靠方法，重点分析 `X-Requested-With` 请求头的局限性，并提供前端主动设置与后端验证的完整实践方案。

在 Web 开发中，后端有时需要区分普通页面请求（如浏览器直接访问）与异步 AJAX 请求（如 jQuery、Fetch 或 Axios 发起的请求），以便返回 JSON 数据、跳过布局渲染，或应用不同的安全策略。一个常见做法是检查请求头 X-Requested-With 是否等于 "XMLHttpRequest"：

if req.Header.Get("X-Requested-With") == "XMLHttpRequest" {
    // 处理 AJAX 请求
}

然而，该方式并不可靠：X-Requested-With 并非 HTTP 标准头，其存在与否完全取决于前端是否主动设置。现代 Fetch API 默认不发送该头；原生 XMLHttpRequest 实例若未显式调用 setRequestHeader() 也不会携带它；而某些跨域请求还可能因 CORS 预检被拦截或过滤。

更稳妥的做法是由前端主动、明确地标记 AJAX 请求。例如，在使用 jQuery 时，可通过 beforeSend 钩子强制注入标准化标识：

$.ajax({
    url: "/api/data",
    type: "GET",
    beforeSend: function(xhr) {
        xhr.setRequestHeader("X-Requested-With", "XMLHttpRequest");
        // 可选：添加自定义语义化头，增强可维护性
        xhr.setRequestHeader("X-Request-Type", "ajax");
    },
    success: function(data) {
        console.log("AJAX success:", data);
    }
});

对于现代 JavaScript，推荐使用更具可控性的 Fetch API，并显式设置请求头：

fetch("/api/data", {
    headers: {
        "X-Requested-With": "XMLHttpRequest",
        "Accept": "application/json"
    }
})
.then(r => r.json())
.then(data => console.log(data));

后端（以 Go 的 net/http 为例）可统一按如下逻辑判断：

func isAjaxRequest(r *http.Request) bool {
    // 优先检查标准化自定义头（更可控）
    if r.Header.Get("X-Request-Type") == "ajax" {
        return true
    }
    // 兼容旧有 jQuery 行为
    if r.Header.Get("X-Requested-With") == "XMLHttpRequest" {
        return true
    }
    // 可选：结合 Accept 头辅助判断（非绝对，仅作参考）
    if strings.Contains(r.Header.Get("Accept"), "application/json") &&
       r.Header.Get("X-Requested-With") == "" {
        // 注意：此条件需谨慎使用，避免误判纯 API 调用
    }
    return false
}

⚠️ 重要注意事项：

• 不应将 X-Requested-With 作为权限控制或安全校验的依据——它极易被客户端伪造；
• 若项目已全面采用现代前端框架（如 React/Vue + Axios/Fetch），建议统一约定一个自定义请求头（如 X-Request-Source: client 或 X-AJAX: true），并在文档中明确定义；
• 对于 SSR 或混合渲染场景，服务端还需结合 Sec-Fetch-Dest（如 "empty" 或 "document"）等新兴标准头做辅助判断，但兼容性需评估。

总之，“检测 AJAX”本质上是前后端协作的契约问题，而非单纯的技术探测。最健壮的方案是：前端主动声明，后端约定识别，全程保持语义清晰、可追溯、易调试。