Ajax（Asynchronous JavaScript and XML）是一種用于創建交互式網頁應用程序的技術。它通過在后臺與服務器進行異步數據交換，實現頁面的無刷新更新，提供了更好的用戶體驗。然而，Ajax在使用過程中存在安全問題，其中之一是跨源請求的問題。跨源請求是指在瀏覽器中發起請求時，請求的目標地址與當前頁面的域不一致，這通常是由于同源策略所限制的。為了解決跨源請求問題，瀏覽器實現了一些安全機制，如攔截跨源請求。本文將介紹Ajax跨源請求的問題和瀏覽器的攔截機制。

在了解跨源請求之前，首先需要了解什么是同源策略。同源策略是一種安全策略，指的是瀏覽器限制不同源之間的相互訪問，所謂“同源”是指協議、域名和端口號都相同。例如，一個頁面位于 http://example.com，那么它只能訪問與之同源的資源，如 http://example.com/data。如果需要訪問不同源的資源，就會觸發跨源請求。

舉個例子來說明跨源請求的問題。假設我們的網頁 http://example.com 上有一個 Ajax 請求，目的是獲取 http://api.example.com/data 的數據。由于這兩個地址不同源，按照同源策略，瀏覽器會阻止這個請求的發送，從而導致請求失敗。

為了解決跨源請求的問題，瀏覽器實現了一些安全機制。其中之一是攔截跨源請求。當瀏覽器發現一個跨源請求時，它會發送一個 OPTIONS 請求（也稱為預檢請求）到目標服務器，詢問服務器是否允許該跨源請求。服務器在收到 OPTIONS 請求后，會返回一組響應頭，指示是否允許該跨源請求。如果服務器允許該跨源請求，瀏覽器才會發送真正的請求，否則請求將被攔截。

OPTIONS /data HTTP/1.1
Host: api.example.com
Access-Control-Request-Method: GET
Access-Control-Request-Headers: X-Requested-With
HTTP/1.1 200 OK
Access-Control-Allow-Origin: http://example.com
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Requested-With

上述代碼展示了瀏覽器發送一個 OPTIONS 請求到目標服務器，并在響應頭中返回一組允許的方法（GET、POST、PUT）和自定義頭字段（X-Requested-With）。

值得注意的是，服務器在響應頭中返回的 Access-Control-Allow-Origin 字段，用來指示允許所有源的請求（"*"），或者指定允許的源（例如 http://example.com）。此外，響應頭還可能包含其他一些字段，如 Access-Control-Allow-Methods 和 Access-Control-Allow-Headers，用于設置允許的方法和頭字段。

綜上所述，當一個 Ajax 請求發起跨源請求時，瀏覽器會通過發送 OPTIONS 請求來詢問服務器是否允許該請求。服務器在響應頭中返回允許的源和其他相關設置。如果服務器允許該請求，瀏覽器才會發送真正的請求；如果服務器拒絕該請求，瀏覽器將攔截該請求，從而保護用戶和目標服務器的安全。