Отключить междоменную веб-безопасность в Firefox

108

В Firefox, как мне сделать эквивалент --disable-web-securityв Chrome. Об этом много писали, но так и не нашли верного ответа. Большинство из них представляют собой ссылки на надстройки (некоторые из которых не работают в последней версии Firefox или вообще не работают) и «вам просто нужно включить поддержку на сервере».

  1. Это временно для проверки. Я знаю последствия для безопасности.
  2. Я не могу включить CORS на сервере, и особенно я бы никогда не смог разрешить localhost или подобное.
  3. Флаг, или настройка, или что-то еще было бы намного лучше, чем плагин. Я также пробовал: http://www-jo.se/f.pfleger/forcecors , но что-то должно быть не так, так как мои запросы возвращаются как полностью пустые, но те же запросы в Chrome возвращаются нормально.

Опять же, это только для тестирования перед переходом к продукту, который в таком случае будет в допустимом домене.

security firefox cross-domain cors Оскар Годсон
источник
3
возможный дубликат политики Disable firefox для того же происхождения
askewchan
1
Я считаю, что сейчас это невозможно, вот соответствующий отчет об ошибке в Firefox Bugzilla: bugzilla.mozilla.org/show_bug.cgi?id=1039678
руцкий
Вы можете попробовать мое дополнение Firefox здесь, чтобы отключить или включить CORS: addons.mozilla.org/en-US/firefox/addon/cross-domain-cors
Тан Май Ван,
@TanMaiVan У меня не работал ваш аддон в Firefox.
Хадо Михал
@KhadoMikhal Спасибо за отчет. Я скоро проверю и исправлю.
Тан Май Ван

Ответы:

32

Почти везде, куда бы вы ни посмотрели, люди обращаются к файлам about: config и security.fileuri.strict_origin_policy. Иногда также network.http.refere.XOriginPolicy.

На меня, похоже, все это не имеет никакого эффекта.

Этот комментарий подразумевает, что в Firefox нет встроенного способа сделать это (по состоянию на 8.02.14).

Питер
источник
12
security.fileuri.strict_origin_policyпомогает, когда нужно передать содержимое одного локального файла через AJAX в другой, а первый находится не в той же папке (или в подпапке этой папки), что и второй.
YakovL
Я думаю, что установка "network.http.referer.XOriginPolicy" на 1 сработала для меня (бета-версия Firefox). Я не уверен, насколько плохо (небезопасно) оставлять это так.
16851556
9

Настройка Chrome, о которой вы говорите, - это отключить ту же политику происхождения.

Это также было рассмотрено в этой теме: Отключить политику одинакового происхождения в firefox

о: config -> security.fileuri.strict_origin_policy -> false

mightilybix
источник
40
установка этого параметра в значение false не дала никакого эффекта; запросы по-прежнему застряли на OPTIONS
Антон Сорадой
7
да, на корс это не влияет, ничего не делает
vknyvz
1
Это ничего не делает в последней
версии
7
Это просто меняет политику URI file: //, а не ту, которая нужна
Ник
Этот ответ исправил проблему с ошибкой загрузки font-awesome, которая возникла в моей локальной среде разработки из-за ограничения перекрестного происхождения.
Даниэль Нальбах
8

Из этого ответа я знаю расширение CORS Everywhere Firefox, и оно работает для меня. Он создает заголовки перехвата прокси-сервера MITM для отключения CORS. Вы можете найти расширение на addons.mozilla.org или здесь .

огоньb86
источник
6

Посмотрите мой аддон, который работает с последней версией Firefox, с красивым пользовательским интерфейсом и поддерживает регулярное выражение JS: https://addons.mozilla.org/en-US/firefox/addon/cross-domain-cors

Обновление: я просто добавляю расширение Chrome для этого https://chrome.google.com/webstore/detail/cross-domain-cors/mjhpgnbimicffchbodmgfnemoghjakai

введите описание изображения здесь

Тан Май Ван
источник
3
Похоже, это не работает с Firefox 55.0.3. Хотя интерфейс приятный.
бета,
2
FWIW, есть еще расширение CORS-Everywhere, делающее нечто подобное.
nachtigall
1
Просто исправили ошибку, и надстройка снова работает.
Тан Май Ван
Работает для меня! Я разрешил CORS для localhost, и теперь я могу тестировать свои веб-приложения и API локально, не настраивая сложные серверы. Спасибо!
Артур Хазбс,
-1

Лучший аддон Firefox для отключения CORS по состоянию на сентябрь 2016 года : https://github.com/fredericlb/Force-CORS/releases

Вы даже можете настроить его с помощью рефереров (веб-сайт).

Хадо Михал
источник
-1

Хотя в вопросе упоминаются Chrome и Firefox, есть и другое программное обеспечение без междоменной безопасности. Я упоминаю об этом для людей, которые игнорируют существование такого программного обеспечения.

Например, PhantomJS - это движок для автоматизации браузера, он поддерживает деактивацию междоменной безопасности.

phantomjs.exe --web-security=no script.js

См. Этот другой мой комментарий: Пользовательский скрипт для обхода политики одинакового происхождения для доступа к вложенным фреймам

Мар Кну
источник
-1

Для тех, кто нашел этот вопрос при использовании Nightwatch.js (1.3.4), acceptInsecureCerts: trueв файле конфигурации есть настройка:

firefox: {
      desiredCapabilities: {
        browserName: 'firefox',
        alwaysMatch: {
          // Enable this if you encounter unexpected SSL certificate errors in Firefox
          acceptInsecureCerts: true,
          'moz:firefoxOptions': {
            args: [
              // '-headless',
              // '-verbose'
            ],
          }
        }
      }
    },
Развернуть фрагмент

flow3r
источник