让webapi只接受ajax请求

1. 为了测试先做一个简单的webapi，直接用新建项目时默认的就可以了。

   
2.  

   在浏览器中测试request get，得到结果

   
3.  

   然后再项目中新建一个AjaxOnly的类

   
4.  

   AjaxOnly继承ActionFilterAttribute，代码如下

   public class AjaxOnlyAttribute : ActionFilterAttribute

   {

   public override void OnActionExecuting(HttpActionContext filterContext)

   {

   var request = filterContext.Request;

   var headers = request.Headers;

   if (!headers.Contains("X-Requested-With")

   || headers.GetValues("X-Requested-With").FirstOrDefault() != "XMLHttpRequest")

   {

   throw new InvalidOperationException("This operation can only be accessed via Ajax requests");

   }

   else {

   base.OnActionExecuting(filterContext);

   }

   }

   }

   其中 if (!headers.Contains("X-Requested-With")

   || headers.GetValues("X-Requested-With").FirstOrDefault() != "XMLHttpRequest") 就是判断它是不是ajax请求，如果true则说明不是

   如果是controller的话可以用HttpContext.Request.IsAjaxRequest()来判断，webapi的actionContext中不支持IsAjaxRequest

   
5.  

   把filter加在webapi的get方法上

   
6.  

   然后再通过浏览器查看，得到报错。如果是ajax则会返回正常的结果。

   
7.  

   可以把这个filter注册在global下，那每一个webapi都只能通过ajax访问

   GlobalConfiguration.Configuration.Filters.Add(new AjaxOnlyAttribute());

   
   END