FreshRSS同步XHR请求问题分析与解决方案

问题背景

在FreshRSS 1.24.3版本中，部分使用Brave浏览器的用户报告了登录失败的问题。当用户尝试登录其FreshRSS实例时，浏览器控制台会显示"Permissions policy violation"错误，指出同步XHR请求被权限策略禁用。

技术分析

同步XHR请求的限制

现代浏览器出于性能考虑，正在逐步限制同步XMLHttpRequest的使用。Brave浏览器基于Chromium内核，在"Shields"保护功能开启时，会严格执行这一策略。问题出现在FreshRSS的登录表单处理逻辑中，该逻辑使用同步XHR请求获取nonce值用于密码加密。

错误表现

具体错误信息显示：

1. 权限策略违规：同步请求被权限策略禁用
2. 网络错误：无法执行XMLHttpRequest的send方法

影响范围

主要影响：

• 使用Brave浏览器且开启严格安全设置的用户
• 其他可能实施类似安全策略的浏览器环境

解决方案

代码层面修改

开发团队通过将同步XHR请求改为异步方式解决了这个问题。关键修改点包括：

1. 重构extra.js中的表单提交处理逻辑
2. 使用Promise或回调方式处理异步响应
3. 确保密码加密流程在获取nonce后继续执行

临时解决方案

对于无法立即升级的用户，可以尝试：

1. 暂时调整Brave浏览器的安全设置
2. 使用其他浏览器访问FreshRSS

技术建议

1. 前端开发实践：在现代Web开发中应避免使用同步XHR，改用异步方式或Fetch API
2. 兼容性考虑：重要功能应提供降级方案，确保在不同浏览器环境下都能正常工作
3. 安全权衡：在实现安全功能(如密码加密)时，需要平衡安全需求与浏览器兼容性

验证与反馈

该修复已合并到FreshRSS的edge版本中，经用户验证确认解决了Brave浏览器下的登录问题。建议受影响的用户升级到包含此修复的版本。

总结

这个案例展示了现代浏览器安全策略对传统Web开发模式的影响。FreshRSS团队通过及时响应和代码优化，既保持了系统的安全性，又提高了浏览器兼容性，为用户提供了更好的使用体验。