本文介绍在 go web 开发中判断请求是否为 ajax 的实用方法,重点分析 `x-requested-with` 请求头的局限性,并提供前后端协同的可靠检测方案。
在 Web 开发中,后端有时需要区分普通页面请求(如用户直接访问 /dashboard)与前端通过 JavaScript 发起的异步请求(如 fetch() 或 jQuery.ajax())。一个常见做法是检查请求头 X-Requested-With 是否等于 "XMLHttpRequest":
func handler(w http.ResponseWriter, r *http.Request) {
if r.Header.Get("X-Requested-With") == "XMLHttpRequest" {
// 处理 AJAX 请求:返回 JSON、不渲染模板等
json.NewEncoder(w).Encode(map[string]string{"status": "success"})
return
}
// 处理常规请求:渲染 HTML 模板
tmpl.Execute(w, nil)
}⚠️ 但需注意:X-Requested-With 并非标准 HTTP 头,且不可靠。原因包括:
- 现代原生 fetch() 默认不发送该头(jQuery 和旧版 XMLHttpRequest 才会自动添加);
- 浏览器扩展、代理或自定义客户端可能篡改或省略该字段;
- CORS 预检请求中,若未显式声明该头,服务端无法读取(需在 Access-Control-Allow-Headers 中放行);
- 移动端 WebView 或某些框架(如 Axios 默认配置)可能不设置它。
✅ 更可靠的实践是主动约定 + 显式声明:
- 前端统一设置自定义标识头(推荐使用语义清晰、不易冲突的名称,如 X-Request-Mode: ajax);
- 后端严格校验该头值,而非依赖历史遗留字段。
示例(前端使用 fetch):
fetch("/api/data", {
headers: {
"X-Request-Mode": "ajax",
"Content-Type": "applicat
ion/json"
}
});
ion/json"
}
});对应 Go 后端检测:
if r.Header.Get("X-Request-Mode") == "ajax" {
w.Header().Set("Content-Type", "application/json")
json.NewEncoder(w).Encode(result)
} else {
http.Redirect(w, r, "/login", http.StatusFound)
}? 进阶建议:
- 若使用 RESTful API,可直接通过 Accept 头判断:Accept: application/json 常暗示 AJAX 场景;
- 对关键操作(如删除、提交),应始终以业务逻辑为准(如 CSRF Token 校验、权限检查),而非仅依赖请求类型标识;
- 在中间件中封装检测逻辑,提升复用性:
func IsAJAX(r *http.Request) bool { return strings.EqualFold(r.Header.Get("X-Request-Mode"), "ajax") || strings.EqualFold(r.Header.Get("X-Requested-With"), "xmlhttprequest") }
总之,检测 AJAX 请求不应依赖单一、非标准的请求头,而应结合可控的前端约定与健壮的后端验证,兼顾兼容性与安全性。
