Nonaktifkan keamanan web lintas domain di Firefox

108

Di Firefox, bagaimana cara melakukan yang setara dengan --disable-web-security di Chrome. Ini telah diposting banyak, tetapi tidak pernah menjadi jawaban yang benar. Kebanyakan adalah tautan ke pengaya (beberapa di antaranya tidak berfungsi di Firefox terbaru atau tidak berfungsi sama sekali) dan "Anda hanya perlu mengaktifkan dukungan di server".

  1. Ini bersifat sementara untuk diuji. Saya tahu implikasi keamanannya.
  2. Saya tidak dapat mengaktifkan CORS di server dan saya khususnya tidak akan pernah dapat mengizinkan localhost atau yang serupa.
  3. Sebuah bendera, atau pengaturan, atau sesuatu akan jauh lebih baik daripada sebuah plugin. Saya juga mencoba: http://www-jo.se/f.pfleger/forcecors , tetapi pasti ada yang salah karena permintaan saya kembali kosong, tetapi permintaan yang sama di Chrome kembali baik-baik saja.

Sekali lagi, ini hanya untuk pengujian sebelum mendorong ke prod yang, kemudian, akan berada di domain yang diizinkan.

security firefox cross-domain cors Oscar Godson
sumber
3
kemungkinan duplikat Nonaktifkan firefox kebijakan asal yang sama
askewchan
1
Saya yakin itu tidak memungkinkan untuk saat ini, berikut adalah laporan bug terkait di Firefox Bugzilla: bugzilla.mozilla.org/show_bug.cgi?id=1039678
rutsky
Anda dapat mencoba add-on Firefox saya di sini untuk menonaktifkan atau mengaktifkan CORS: addons.mozilla.org/en-US/firefox/addon/cross-domain-cors
Tan Mai Van
@TanMaiVan Addon Anda tidak berfungsi untuk saya di Firefox.
Khado Mikhal
@Kado Terima kasih atas laporannya. Saya akan segera memeriksa dan memperbaikinya.
Tan Mai Van

Jawaban:

32

Hampir di mana pun Anda melihat, orang merujuk ke about: config dan security.fileuri.strict_origin_policy. Terkadang juga jaringan.http.refere.XOriginPolicy.

Bagi saya, tampaknya tidak ada satu pun yang berpengaruh.

Komentar ini menyiratkan bahwa tidak ada cara bawaan di Firefox untuk melakukan ini (mulai 2/8/14).

Peter
sumber
12
security.fileuri.strict_origin_policymembantu ketika seseorang perlu mendapatkan konten dari satu file lokal melalui AJAX ke file lain dan yang pertama tidak ada di folder yang sama (atau di subfolder dari folder itu) dengan yang kedua.
YakovL
Saya pikir pengaturan "network.http.referer.XOriginPolicy" ke 1 bekerja untuk saya (Firefox beta). Saya tidak yakin seberapa buruk (tidak aman) membiarkannya seperti ini.
16851556
9

Setelan Chrome yang Anda rujuk adalah menonaktifkan kebijakan asal yang sama.

Ini juga tercakup dalam utas ini: Nonaktifkan kebijakan firefox yang sama asal

about: config -> security.fileuri.strict_origin_policy -> false

mightilybix
sumber
40
menyetel pengaturan ini ke false tidak memiliki efek apa pun; permintaan masih tertahan di OPSI
Anton Soradoi
7
ya ini tidak berpengaruh pada cors, tidak melakukan apa
vknyvz
1
Ini tidak melakukan apa-apa pada Firefox terbaru
Ed Orsi
7
Ini hanya mengubah file: // kebijakan URI, bukan yang dibutuhkan
Nick
Jawaban ini memperbaiki masalah gagal unduhan font-mengagumkan yang saya alami di lingkungan pengembang lokal saya dari pembatasan lintas sumber.
Daniel Nalbach
8

Dari jawaban ini saya mengetahui ekstensi CORS Everywhere Firefox dan itu berfungsi untuk saya. Ini membuat header intersep proxy MITM untuk menonaktifkan CORS. Anda dapat menemukan ekstensinya di addons.mozilla.org atau di sini .

fireb86
sumber
6

Lihat addon saya yang berfungsi dengan versi Firefox terbaru, dengan UI yang indah dan dukungan JS regex: https://addons.mozilla.org/en-US/firefox/addon/cross-domain-cors

Update: Saya baru saja menambahkan ekstensi Chrome untuk https://chrome.google.com/webstore/detail/cross-domain-cors/mjhpgnbimicffchbodmgfnemoghjakai ini

masukkan deskripsi gambar di sini

Tan Mai Van
sumber
3
Sepertinya tidak bekerja dengan Firefox 55.0.3. UI yang bagus.
beta
2
FWIW, ada juga Ekstensi CORS-Everywhere yang melakukan hal serupa.
nachtigall
1
Baru saja memperbaiki bug dan add on berfungsi kembali sekarang.
Tan Mai Van
Bekerja untuk saya! Saya mengizinkan CORS untuk localhost dan sekarang saya dapat menguji aplikasi web dan API saya secara lokal tanpa menyiapkan server yang rumit. Terima kasih!
Arthur Khazbs
-1

Sementara pertanyaan menyebutkan Chrome dan Firefox, ada perangkat lunak lain tanpa keamanan lintas domain. Saya menyebutkannya untuk orang yang mengabaikan bahwa perangkat lunak semacam itu ada.

Misalnya, PhantomJS adalah mesin untuk otomatisasi browser, ini mendukung penonaktifan keamanan lintas domain.

phantomjs.exe --web-security=no script.js

Lihat komentar saya yang lain ini: Script pengguna untuk melewati kebijakan asal yang sama untuk mengakses iframe bertingkat

Mar Cnu
sumber
-1

Bagi siapa pun yang menemukan pertanyaan ini saat menggunakan Nightwatch.js (1.3.4), ada acceptInsecureCerts: truepengaturan di file konfigurasi:

firefox: {
      desiredCapabilities: {
        browserName: 'firefox',
        alwaysMatch: {
          // Enable this if you encounter unexpected SSL certificate errors in Firefox
          acceptInsecureCerts: true,
          'moz:firefoxOptions': {
            args: [
              // '-headless',
              // '-verbose'
            ],
          }
        }
      }
    },
Luaskan cuplikan

flow3r
sumber