Tắt chính sách gốc của firefox

Tôi đang phát triển một công cụ nghiên cứu cục bộ yêu cầu tôi tắt chính sách nguồn gốc tương tự của Firefox (về quyền truy cập tập lệnh, tôi không thực sự quan tâm đến các yêu cầu tên miền chéo).

Cụ thể hơn, tôi muốn các tập lệnh trong miền lưu trữ có thể truy cập các phần tử tùy ý trong bất kỳ iframe nào được nhúng trong trang, bất kể miền của chúng là gì.

Tôi đã biết phần Hỏi & Đáp trước đây đã đề cập đến phần mở rộng CORS FF, nhưng đó không phải là thứ tôi cần, vì nó chỉ cho phép CORS chứ không cho phép truy cập tập lệnh.

Nếu nó không thể được thực hiện dễ dàng, tôi cũng sẽ đánh giá cao bất kỳ thông tin chi tiết nào hướng tôi đến phần cụ thể của mã FF src mà tôi có thể sửa đổi để tắt SOP, để tôi có thể biên dịch lại FF.

Có một tiện ích mở rộng của Firefox thêm tiêu đề CORS vào bất kỳ phản hồi HTTP nào hoạt động trên Firefox mới nhất (bản dựng 36.0.1 ) được phát hành ngày 5 tháng 3 năm 2015 . Tôi đã thử nghiệm nó và nó hoạt động trên cả Windows 7 và Mavericks. Tôi sẽ hướng dẫn bạn các bước để nó hoạt động.

1) Lấy tiện ích mở rộng

Bạn có thể tải xuống xpi từ đây (bản dựng của tác giả) hoặc từ đây (bản sao, có thể không được cập nhật).

Hoặc tải xuống các tệp từ GitHub. Bây giờ nó cũng có trên Firefox Marketplace: Tải xuống tại đây . Trong trường hợp này, addon được cài đặt sau khi bạn nhấp vào cài đặt và bạn có thể chuyển sang bước 4.

Nếu bạn đã tải xuống xpi, bạn có thể chuyển sang bước 3. Nếu bạn đã tải xuống tệp zip từ GitHub, hãy chuyển sang bước 2.

2) Xây dựng xpi

Bạn cần giải nén zip, vào bên trong thư mục "cors -where-firefox-addon-master", chọn tất cả các mục và nén chúng. Sau đó, đổi tên zip đã tạo thành * .xpi

Lưu ý: Nếu bạn đang sử dụng OS X gui, nó có thể tạo ra một số tệp ẩn, vì vậy tốt hơn bạn nên sử dụng dòng lệnh.

3) Cài đặt xpi

Bạn chỉ cần kéo và thả xpi vào firefox, hoặc vào: "about: addons", nhấp vào bánh răng ở góc trên bên phải và chọn "install add on from file", sau đó chọn tệp .xpi. Bây giờ, khởi động lại firefox.

4) Làm cho nó hoạt động

Bây giờ, tiện ích mở rộng sẽ không hoạt động theo mặc định. Bạn cần phải kéo biểu tượng tiện ích mở rộng vào thanh tiện ích mở rộng, nhưng đừng lo lắng. Có những hình ảnh!

• Nhấp vào Menu Firefox
• Nhấp vào Tùy chỉnh

• Kéo CorsE vào thanh
• Bây giờ, hãy nhấp vào biểu tượng, khi nó có màu xanh lục, các tiêu đề CORS sẽ được thêm vào bất kỳ phản hồi HTTP nào

5) Kiểm tra xem nó có hoạt động không

jQuery

$.get( "http://example.com/", function( data ) {
  console.log (data);
});

JavaScript

xmlhttp=new XMLHttpRequest();

xmlhttp.onreadystatechange = function() {
    if (xmlhttp.readyState == 4) {
        console.log(xmlhttp.responseText);
    }
}

xmlhttp.open("GET","http://example.com/");
xmlhttp.send();

6) Cân nhắc cuối cùng

Lưu ý rằng không cho phép chuyển https thành http .

Có thể có một cách xung quanh nó, nhưng nó nằm sau phạm vi của câu hỏi.

about:config -> security.fileuri.strict_origin_policy -> false

Tôi nhận ra rằng câu trả lời cũ hơn của tôi bị phản đối vì tôi không chỉ định cụ thể cách tắt chính sách nguồn gốc tương tự của FF. Sau đây tôi sẽ đưa ra một câu trả lời chi tiết hơn:

Cảnh báo: Điều này yêu cầu biên dịch lại FF và phiên bản Firefox mới được biên dịch sẽ không thể kích hoạt lại SOP.

Kiểm tra mã nguồn Firefox của Mozilla, tìm nsScriptSecurityManager.cpp trong thư mục src. Tôi sẽ sử dụng cái được liệt kê ở đây làm ví dụ: http://mxr.mozilla.org/aviarybranch/source/caps/src/nsScriptSecurityManager.cpp

Đi tới triển khai chức năng nsScriptSecurityManager :: CheckSameOriginURI, là dòng 568 kể từ ngày 03/02/2016.

Làm cho hàm đó luôn trả về NS_OK.

Điều này sẽ vô hiệu hóa SOP.

Câu trả lời addon trình duyệt của @Giacomo sẽ hữu ích cho hầu hết mọi người và tôi đã chấp nhận câu trả lời đó, tuy nhiên, đối với nhu cầu nghiên cứu cá nhân của tôi (TL; sẽ không giải thích ở đây) thì vẫn chưa đủ và tôi nghĩ các nhà nghiên cứu khác có thể cần phải làm gì Tôi đã làm ở đây để tiêu diệt hoàn toàn SOP.

Tôi đã viết một tiện ích bổ sung để khắc phục vấn đề này trong Firefox (phiên bản Chrome, Opera sẽ sớm có). Nó hoạt động với phiên bản Firefox mới nhất với giao diện người dùng đẹp mắt và hỗ trợ JS regex: https://addons.mozilla.org/en-US/firefox/addon/cross-domain-cors

Kể từ tháng 9 năm 2016 , addon này là tốt nhất để tắt CORS : https://github.com/fredericlb/Force-CORS/releases

Trong bảng tùy chọn, bạn có thể định cấu hình tiêu đề nào sẽ đưa vào và trang web cụ thể để kích hoạt nó tự động.

Các CORS-ở khắp mọi nơi công trình addon cho tôi cho đến khi Firefox 68, sau 68 Tôi cần phải điều chỉnh 'privacy.file_unique_origin' -> sai (bằng cách mở 'about: config') để giải quyết ' CORS yêu cầu không HTTP ' cho CORS mới cùng một quy tắc xuất xứ đã giới thiệu.

Trong about:configthêm content.cors.disable(chuỗi trống).