在现代网页开发中，使用AJAX技术可以实现无需刷新页面而更新部分内容的功能。然而，在使用AJAX时，我们经常会遇到一个问题：无法正确设置HTTP请求的头部信息。尽管我们使用了正确的方法设置了headers，但在实际请求中却没有生效。这个问题可能会导致一些安全或功能上的限制。

让我们以一个例子来说明这个问题。假设我们正在开发一个简单的网页，用于获取用户列表。这个网页的后端由一个名为"example.com"的服务器提供。在使用AJAX请求时，我们需要在请求头中包含一个Authorization头部，以进行身份验证。

$.ajax({
url: "http://example.com/user/list",
type: "GET",
headers: {
"Authorization": "Bearer token123"
},
success: function(response) {
console.log(response);
}
});

然而，尽管我们在代码中正确地设置了Authorization头部，但在实际请求中，这个头部却没有被包含在请求中。这就是headers无效的问题。

为了解决这个问题，我们需要了解AJAX请求的CORS（跨域资源共享）机制。CORS是一种浏览器安全策略，用于限制跨域请求对目标服务器的访问。为了保护用户的隐私和数据安全，浏览器在发送AJAX请求时会执行预检（preflight）请求，以确保目标服务器允许来自当前源的跨域请求。

在预检请求（OPTIONS请求）中，浏览器会向目标服务器发送一个包含其实际请求中的头部信息的测试请求，以验证服务器是否接受这些头部。只有在预检请求的响应中包含了Access-Control-Allow-Headers头部，浏览器才会在实际请求中包含这些头部。

回到我们的例子中，如果"example.com"服务器没有正确配置Access-Control-Allow-Headers头部，浏览器就不会在实际请求中包含我们设置的Authorization头部，导致我们的请求身份验证失败。

Access-Control-Allow-Headers: Authorization

要解决这个问题，我们需要在服务器端正确配置CORS响应头部。这是一个在Node.js中使用express框架的例子：

app.use(function(req, res, next) {
res.header("Access-Control-Allow-Origin", "*");
res.header("Access-Control-Allow-Methods", "GET, POST, OPTIONS");
res.header("Access-Control-Allow-Headers", "Authorization, Content-Type");
next();
});

在上面的代码中，我们使用了express的中间件来添加需要的CORS头部。其中，"Access-Control-Allow-Headers"头部被设置为"Authorization, Content-Type"，以允许这两个头部的跨域请求。

此外，我们还可以使用CORS中间件来更方便地处理CORS头部，例如：cors。

总结一下，当我们遇到headers无效的问题时，首先需要确认是否涉及到跨域请求。如果是跨域请求，我们需要在服务器端正确配置CORS头部，以允许浏览器在实际请求中包含我们设置的头部。只有这样，我们才能实现正确的AJAX请求，并解决相关的安全或功能限制。