【写在最末】

他们在平常的程式设计自学中，时常会碰触到“ajax布吕马”那个基本概念；

但许多阿宝只索韦泰，Churu，即使是在翻查了许多统计数据资料后依然是戈耶湖。

透过责任编辑科学知识，让他们花5两分钟天数全盘比如说它，坚信精明的你，看完一定会有斩获！

# 为何会有布吕马难题？

1）无法出访旁人的统计数据（cookies、LocalStorage和IndexDB）

2）无法出访旁人的DOM

3）无法向旁人推送AJAX允诺

相混的表述：

“协定+搜索引擎+路由器” 二者要完全相同才算相混，不然就归属于“不相混”。

假定： http://www.example.com:8000/test.html

所以：

* http://www.example.com:8000/test2.html 归属于相混

* https://www.example.com:8000/test.html 归属于不相混（因为协定相同）

* http://www.example.cn:8000/test.html 归属于不相混（因为搜索引擎相同）

* http://www.example.com:8001/test.html 归属于不相混（因为路由器相同）

# 为何浏览器要执行相混策略？

“相混策略”是浏览器安全的基石，主要目的是为了保护用户统计数据安全。

假定一下，如果没有相混策略，当浏览器在出访一个银行网站的同时还在出访另一个网站B，如果银行网站把session保存在cookies中，而B又能随便读取cookie统计数据，所以B站用户就可以冒充银行用户在银行网站为所欲为了。

# ajax布吕马解决方案

相混策略的限制是必需的，但有时合理正常的使用也受影响，很不方便。

比如：一个大网站有许多子搜索引擎的情况，这些子搜索引擎之间的统计数据通信也会因此策略而无法正常交互。

常见报错信息如下：

No Access-Control-Allow-Origin header is present on the requested resource. Origin http://www.xxx.com is therefore not allowed access.

常用解决方案：

方案1：CORS 跨源资源共享（Cross-Origin Resource Sharing）（推荐）

CORS是W3C标准，也是解决AJAX布吕马允诺的标准解决方法。其实从AJAX布吕马允诺返回的错误信息里，已经暗示了服务器端没有配置支持跨源资源共享。

CORS需要浏览器和服务器同时支持。目前，所有现代浏览器都支持该功能，IE浏览器需要IE9+。

整个CORS通信过程，都是浏览器自动完成，不需要用户人工参与。

具体流程如下：

1）浏览器发现本次允诺是AJAX跨源允诺，就会在允诺头中自动添加： Origin: http://www.xxx.com ，表明本次允诺来自哪个源（协定 + 搜索引擎 + 路由器）

2）服务器根据允诺头中的 Origin 值，决定是否同意这次允诺。

a)如果 Origin不在许可范围内，服务器会返回一个正常的HTTP回应。

当浏览器发现回应头中没有包含Access-Control-Allow-Origin字段时，则会抛出一个错误，被XMLHttpRequest的onerror回调函数捕获。

特别注意:这种错误无法透过HTTP状态码(status code)识别，因为HTTP回应的状态码是正常的200。

b)如果Origin 在许可返回，则服务器会在响应头中下发 Access-Control-Allow-Origin: http://www.xxx.com，此时双方即可正常通信

服务器端，一般都是用全局过滤器来处理布吕马允诺，从而实现“对业务代码零侵入”

以java 语言为例：

@Override

public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {

response.setHeader(“Access-Control-Allow-Origin”, “*”);

response.setHeader(“Access-Control-Allow-Headers”, “*”);

response.setHeader(“Access-Control-Allow-Credentials”, “true”);

filterChain.doFilter(servletRequest, response);

return;

}

方案2：架设代理服务器

原理：把发往其他域的允诺，发给自己的代理服务器，代理服务器完成允诺后，将响应统计数据返回给原始允诺，本质是绕开了浏览器的“相混策略”

一个 nginx 代理服务器的配置例子：

server {

listen 8001;

location / {

root “D:/programs/Tomcat 8.5/webapps/ROOT”;

}

location ^~ /HelloWorld {

proxy_pass http://test2.kuayutest.com:8080;

}

}

方案3: 关闭浏览器的相混策略

既然是本地浏览器的策略，所以我禁掉策略就好啦

特别注意：这种方案仅仅适用于本地临时调试，且各浏览器设置方法相同

以Chrome浏览器为例说明：

启动Chorme时添加如下参数：

chrome –disable-web-security –user-data-dir

另外，还有 WebSocket、JSONP（只支持GET允诺） 等方案，对业务代码侵入性都很大，性价比不高，所以此处均一笔带过，不再详细介绍。

【全文完】

十年技术沉淀，只做原创文章；