Ajax是一種用于在網頁上進行異步通信的技術，它可以實現無需刷新頁面的數據交互。然而，使用Ajax時，有一個重要的限制是不允許自定義請求頭。這意味著我們無法在Ajax請求中自行設置請求頭信息，而只能使用默認的請求頭。

為了更好地理解為何Ajax不允許自定義請求頭，我們可以舉一個例子來說明。假設有一個網站提供了一個API接口，用于獲取用戶的個人信息。如果Ajax允許自定義請求頭，那么惡意用戶就可以輕易地偽造請求頭信息，以獲取其他用戶的敏感信息。這種情況下，網站的安全性將無法得到保障。

<script>
const xhr = new XMLHttpRequest();
xhr.open('GET', 'https://api.example.com/user/info', true);
xhr.setRequestHeader('Authorization', 'Bearer ACCESS_TOKEN'); // 試圖自定義請求頭
xhr.onreadystatechange = function(){
if(xhr.readyState === 4 && xhr.status === 200){
console.log(xhr.responseText);
}
}
xhr.send();
</script>

在上述代碼中，我們試圖在Ajax請求中設置了一個名為Authorization的自定義請求頭，并傳遞了一個訪問令牌（ACCESS_TOKEN）。然而，由于Ajax的安全機制，這個自定義請求頭將被忽略，而只會使用默認的請求頭發送請求。這是因為Ajax不允許我們自主設置請求頭，以確保接口的安全性和可靠性。

需要注意的是，在某些情況下，我們可能會需要自定義請求頭來滿足特定需求。但為了確保網站和用戶的安全，我們應該優先選擇其他安全手段，如使用HTTPS協議來加密通信，或者使用其他授權機制（如OAuth）來管控用戶訪問權限。

總結起來，Ajax的一個限制是不允許自定義請求頭，這是為了確保我們的網站和用戶的安全。盡管這個限制可能有時會限制我們的一些需求，但通過運用其他安全措施，我們仍然能夠保障數據的安全傳輸和用戶的隱私保護。