为了测试先做一个简单的webapi，直接用新建项目时默认的就可以了。

在浏览器中测试request get，得到结果

然后再项目中新建一个AjaxOnly的类

AjaxOnly继承ActionFilterAttribute，代码如下

public class AjaxOnlyAttribute : ActionFilterAttribute

{

public override void OnActionExecuting(HttpActionContext filterContext)

{

var request = filterContext.Request;

var headers = request.Headers;

if (!headers.Contains("X-Requested-With")

|| headers.GetValues("X-Requested-With").FirstOrDefault() != "XMLHttpRequest")

{

throw new InvalidOperationException("This operation can only be accessed via Ajax requests");

}

else {

base.OnActionExecuting(filterContext);

}

}

}

其中 if (!headers.Contains("X-Requested-With")

|| headers.GetValues("X-Requested-With").FirstOrDefault() != "XMLHttpRequest") 就是判断它是不是ajax请求，如果true则说明不是

如果是controller的话可以用HttpContext.Request.IsAjaxRequest()来判断，webapi的actionContext中不支持IsAjaxRequest

把filter加在webapi的get方法上

然后再通过浏览器查看，得到报错。如果是ajax则会返回正常的结果。

可以把这个filter注册在global下，那每一个webapi都只能通过ajax访问

GlobalConfiguration.Configuration.Filters.Add(new AjaxOnlyAttribute());

END