Wyłącz zabezpieczenia internetowe między domenami w przeglądarce Firefox

108

W przeglądarce Firefox, jak zrobić odpowiednik --disable-web-securityw przeglądarce Chrome. To było często publikowane, ale nigdy nie jest to prawdziwa odpowiedź. Większość z nich to linki do dodatków (z których niektóre nie działają w najnowszym Firefoksie lub nie działają w ogóle) i „wystarczy włączyć obsługę na serwerze”.

  1. To jest tymczasowe do przetestowania. Znam konsekwencje dla bezpieczeństwa.
  2. Nie mogę włączyć CORS na serwerze, a szczególnie nigdy nie byłbym w stanie zezwolić na localhost lub coś podobnego.
  3. Flaga, ustawienie lub coś znacznie lepszego niż wtyczka. Próbowałem też: http://www-jo.se/f.pfleger/forcecors , ale coś musi być nie tak, ponieważ moje żądania wracają jako całkowicie puste, ale te same żądania w Chrome wracają dobrze.

Ponownie, służy to tylko do testowania przed wysłaniem do produktu, który wtedy byłby w dozwolonej domenie.

security firefox cross-domain cors Oscar Godson
źródło
3
możliwy duplikat zasady Disable firefox o tym samym pochodzeniu
askewchan
1
Uważam, że w tej chwili nie jest to możliwe, tutaj jest powiązany raport o błędzie w Firefoksie Bugzilla: bugzilla.mozilla.org/show_bug.cgi?id=1039678
rutsky
Możesz wypróbować mój dodatek do Firefoksa tutaj, aby wyłączyć lub włączyć CORS: addons.mozilla.org/en-US/firefox/addon/cross-domain-cors
Tan Mai Van
@TanMaiVan Twój dodatek nie działał dla mnie w przeglądarce Firefox.
Khado Mikhal
@KhadoMikhal Dzięki za raport. Wkrótce to sprawdzę i naprawię.
Tan Mai Van

Odpowiedzi:

32

Niemal wszędzie, gdzie spojrzysz, ludzie odnoszą się do about: config i security.fileuri.strict_origin_policy. Czasami także network.http.refere.XOriginPolicy.

Wydaje mi się, że żaden z nich nie ma żadnego efektu.

Ten komentarz sugeruje, że w Firefoksie nie ma wbudowanego sposobu, aby to zrobić (od 08.02.14).

Piotr
źródło
12
security.fileuri.strict_origin_policypomaga, gdy trzeba przenieść zawartość jednego pliku lokalnego przez AJAX do innego, a pierwszy nie znajduje się w tym samym folderze (lub w podfolderze tego folderu) co drugi.
YakovL
Myślę, że ustawienie „network.http.referer.XOriginPolicy” na 1 zadziałało dla mnie (Firefox beta). Nie jestem pewien, jak źle (niepewnie) jest zostawić to w ten sposób.
16851556
9

Ustawienie Chrome, do którego się odnosisz, polega na wyłączeniu tej samej zasady pochodzenia.

Zostało to również omówione w tym wątku: Wyłącz zasady tego samego pochodzenia w przeglądarce Firefox

about: config -> security.fileuri.strict_origin_policy -> false

mayilybix
źródło
40
ustawienie tego ustawienia na false nie przyniosło żadnego efektu; prośby wciąż utknęły na OPTIONS
Anton Soradoi
7
tak to nie ma wpływu na cors, nic nie robi
vknyvz
1
To nic nie robi w najnowszym Firefoksie
Ed Orsi,
7
To tylko zmienia politykę file: // URI, a nie tę potrzebną
Nick,
Ta odpowiedź rozwiązała problem z niepowodzeniem pobierania font-awesome, który miałem w moim lokalnym środowisku deweloperskim, wynikający z ograniczeń między źródłami.
Daniel Nalbach
8

Z tej odpowiedzi poznałem rozszerzenie CORS Everywhere do przeglądarki Firefox i działa dla mnie. Tworzy proxy MITM przechwytujące nagłówki, aby wyłączyć CORS. Możesz znaleźć rozszerzenie na addons.mozilla.org lub tutaj .

fireb86
źródło
6

Sprawdź mój dodatek, który działa z najnowszą wersją Firefoksa, z pięknym interfejsem użytkownika i obsługą wyrażeń regularnych JS: https://addons.mozilla.org/en-US/firefox/addon/cross-domain-cors

Aktualizacja: Po prostu dodaję rozszerzenie do Chrome w tym https://chrome.google.com/webstore/detail/cross-domain-cors/mjhpgnbimicffchbodmgfnemoghjakai

wprowadź opis obrazu tutaj

Tan Mai Van
źródło
3
Wydaje się, że nie działa z przeglądarką Firefox 55.0.3. Niezły interfejs użytkownika.
beta
2
FWIW, istnieje również rozszerzenie CORS-Everywhere, które robi coś podobnego.
nachtigall
1
Właśnie naprawiłem błąd, a dodatek znów działa.
Tan Mai Van
Pracuje dla mnie! Zezwalałem na CORS dla localhost i teraz mogę testować moje aplikacje internetowe i interfejsy API lokalnie bez konfigurowania skomplikowanych serwerów. Dziękuję Ci!
Arthur Khazbs
-1

Chociaż pytanie dotyczy Chrome i Firefox, istnieją inne programy bez zabezpieczeń międzydomenowych. Wspominam o tym dla ludzi, którzy ignorują istnienie takiego oprogramowania.

Na przykład PhantomJS to silnik do automatyzacji przeglądarek, obsługuje dezaktywację zabezpieczeń międzydomenowych.

phantomjs.exe --web-security=no script.js

Zobacz inny mój komentarz: Userscript, aby ominąć zasadę tego samego pochodzenia w celu uzyskania dostępu do zagnieżdżonych ramek iframe

Mar Cnu
źródło
-1

Dla każdego, kto znajdzie to pytanie podczas korzystania z Nightwatch.js (1.3.4), istnieje acceptInsecureCerts: trueustawienie w pliku konfiguracyjnym:

firefox: {
      desiredCapabilities: {
        browserName: 'firefox',
        alwaysMatch: {
          // Enable this if you encounter unexpected SSL certificate errors in Firefox
          acceptInsecureCerts: true,
          'moz:firefoxOptions': {
            args: [
              // '-headless',
              // '-verbose'
            ],
          }
        }
      }
    },
Rozwiń fragment

flow3r
źródło