CodeIgniter 3 中返回 JSON 必须先调用 $this->output->set_content_type() 再 set_output(),不可手动 echo 或 exit;AJAX 判断应优先用 HTTP_ACCEPT 或自定义头而非 is_ajax_request();CSRF 需前端读取 meta token 并通过 X-CSRF-TOKEN 透传。
CodeIgniter 3 中 $this->output->set_content_type() 必须在 send() 前调用
很多人在 AJAX 响应里返回 JSON 却得不到正确 Content-Type: application/json,浏览器仍当 HTML 解析——根本原因是 set_content_type() 被调在了 echo json_encode(...) 之后,或被 exit / die 中断了输出流程。
CodeIgniter 的输出类是延迟写入的,所有 set_* 方法(如 set_status()、set_content_type())必须在最终响应发送前生效。一旦你手动 echo 或 print,CI 就不再接管 header 和 content-type。
- ✅ 正确做法:先设类型、状态,再用
$this->output->set_output()注入内容,最后让 CI 自动 send - ❌ 错误写法:
header('Content-Type: application/json'); echo json_encode([...]); exit;—— 绕过了 CI 输出机制,CSRF、缓存控制等全失效 - ⚠️ 注意:
set_content_type('json')是简写,内部等价于set_content_type('application/json', 'utf-8');显式写全更稳妥,尤其涉及中文时
AJAX 请求下 $this->input->is_ajax_request() 不可靠,优先用 HTTP 头判断
is_ajax_request() 只检查 HTTP_X_REQUESTED_WITH 是否为 XMLHttpRequest,但现代前端框架(如 Vue + Axios、React + Fetch)默认不带这个头,某些 CDN 或代理还会剥离它——结果就是明明是 AJAX 请求,却进了非 AJAX 分支。
更稳的方式是结合 $_SERVER['HTTP_ACCEPT'] 或自定义请求头(如 X-Requested-With: Fetch),尤其在前后端分离项目中。
- ✅ 推荐判断逻辑:
strpos($_SERVER['HTTP_ACCEPT'] ?? '', 'application/json') !== false - ✅ 或统一约定加头:
axios.defaults.headers.common['X-AJAX'] = 'true',后端用$this->input->get_request_header('X-AJAX') === 'true' - ⚠️ 不要依赖
is_ajax_request()做权限/流程分支,它只是辅助提示,不是安全边界
CSRF 保护开启时,AJAX POST 必须携带 csrf_test_name 字段或头
CodeIgniter 默认开启 CSRF,表单提交自动注入隐藏字段,但 AJAX 不会自动读取并带上它——导致 403 或空白响应,且无明确错误提示。
关键不是“关掉 CSRF”,而是让前端能拿到并透传 token。CI 把 token 存在 session 里,每次刷新页面都会变,所以不能硬编码。
- ✅ 后端在视图里暴露 token:
<meta name="csrf-token" content="<?php echo $this->security->get_csrf_hash(); ?>"> - ✅ 前端 JS 读取并设置:
headers['X-CSRF-TOKEN'] = document.querySelector('meta[name="csrf-token"]').getAttribute('content') - ✅ CI 配置需启用头支持:
$config['csrf_token_name'] = 'csrf_test_name'; $config['csrf_cookie_name'] = 'csrf_cookie_name';,并在application/config/config.php中确保$config['csrf_protection'] = TRUE; - ⚠️ 如果用
$.ajaxSetup()全局加头,注意避免对跨域请求误加(会触发预检失败)
返回 JSON 时别直接 json_encode($data),用 $this->output->set_output() 统一出口
直接 echo json_encode() 看似快,但绕过 CI 输出类后,你失去三样东西:自动 GZIP 压缩(如果启用)、统一的 HTTP 状态码控制、以及后续钩子(如日志记录、性能统计)的执行机会。
而且 CI 的 set_output() 会自动处理字符编码和换行,比手写更健壮。
- ✅ 推荐写法:
$this->output->set_status_header(200)->set_content_type('application/json', 'utf-8')->set_output(json_encode(['status' => 'success', 'data' => $result], JSON_UNESCAPED_UNICODE)); - ✅ 如果需要压缩,确认
$config['compress_output'] = TRUE;已开启,CI 会在发送前自动 gzip - ⚠️
JSON_UNESCAPED_UNICODE很重要,否则中文变成\u4f60\u597d,前端还得额外 decode
真正容易被忽略的是:CI 的输出类只在完整生命周期结束时才真正 send,所以中间任何 echo、var_dump、未捕获的 Notice 都会导致 headers already sent 错误——调试时用 log_message('debug', ...),别手欠打 print_r。
