有些人可能会推荐这样的代码(或类似的)：

if(!empty($_SERVER['HTTP_X_REQUESTED_WITH']) 
     && strtolower($_SERVER['HTTP_X_REQUESTED_WITH']) == 'xmlhttprequest') {
    // more code here
}

然而,事实是HTTP头可以很容易地欺骗,而不是保护代码的方法.在我在繁忙的网站上测试一段时间后,我注意到这些标题实际上并不是可靠的.