本文共 334 字，大约阅读时间需要 1 分钟。

大部分js框架（jquery，exit，yui）会在aajax的请求里加上一个名称为“X-Requested-With”的header，可以在服务器端通过这个header来判断，但是似乎不是一个成文的标准，php的判断源码如下（摘自Yii）：

public function getIsAjaxRequest()    {        return isset($_SERVER['HTTP_X_REQUESTED_WITH'])?$_SERVER['HTTP_X_REQUESTED_WITH']==='XMLHttpRequest' : false;    }

 因为一般的跨站攻击都是借用用户的浏览器发送ajax请求，一个请求是否是ajax在CSRF中比较有用。

转载地址：http://uxsni.baihongyu.com/