Tắt bảo mật web tên miền chéo trong Firefox

108

Trong Firefox, làm cách nào để thực hiện tương tự như --disable-web-securitytrong Chrome. Điều này đã được đăng rất nhiều, nhưng không bao giờ là một câu trả lời thực sự. Hầu hết là các liên kết đến các tiện ích bổ sung (một số không hoạt động trong Firefox mới nhất hoặc hoàn toàn không hoạt động) và "bạn chỉ cần bật hỗ trợ trên máy chủ".

Đây là tạm thời để kiểm tra. Tôi biết các tác động bảo mật.
Tôi không thể bật CORS trên máy chủ và đặc biệt là tôi sẽ không bao giờ có thể cho phép máy chủ cục bộ hoặc tương tự.
Cờ, hoặc cài đặt, hoặc thứ gì đó sẽ tốt hơn rất nhiều so với plugin. Tôi cũng đã thử: http://www-jo.se/f.pfleger/forcecors , nhưng có gì đó không ổn vì các yêu cầu của tôi trở lại như hoàn toàn trống, nhưng các yêu cầu tương tự trong Chrome vẫn hoạt động tốt.

Một lần nữa, điều này chỉ để thử nghiệm trước khi đẩy lên sản phẩm, sau đó, sẽ nằm trên một miền cho phép.

— Oscar Godson
nguồn

3

có thể trùng lặp chính sách vô hiệu hóa firefox cùng nguồn gốc

— askewchan

1

Tôi tin rằng không thể thực hiện được ngay bây giờ, đây là báo cáo lỗi liên quan trong Firefox Bugzilla: bugzilla.mozilla.org/show_bug.cgi?id=1039678

— rutsky

Bạn có thể dùng thử tiện ích Firefox của tôi tại đây để tắt hoặc bật CORS: addons.mozilla.org/en-US/firefox/addon/cross-domain-cors

— Tan Mai Van

@TanMaiVan Tiện ích của bạn không hoạt động với tôi trên Firefox.

— Khado Mikhal

@KhadoMikhal Cảm ơn bạn đã báo cáo. Tôi sẽ kiểm tra và khắc phục sớm.

— Tân Mai Vân

32

Hầu như ở mọi nơi bạn nhìn, mọi người đề cập đến about: config và security.fileuri.strict_origin_policy. Đôi khi cũng có mạng.http.refere.XOriginPolicy.

Đối với tôi, không có cái nào trong số này dường như có bất kỳ tác dụng nào.

Nhận xét này ngụ ý rằng không có cách nào được tích hợp sẵn trong Firefox để thực hiện việc này (kể từ 2/8/14).

— Peter
nguồn

12

security.fileuri.strict_origin_policyhữu ích khi người ta cần lấy nội dung của một tệp cục bộ thông qua AJAX vào một tệp khác và tệp đầu tiên không nằm trong cùng thư mục (hoặc trong thư mục con của thư mục đó) với tệp thứ hai.

— YakovL

tôi nghĩ rằng cài đặt "network.http.referer.XOriginPolicy" thành 1 phù hợp với tôi (Firefox beta). Tôi không chắc sẽ tệ đến mức nào (không an toàn) nếu để nó như thế này.

— 16851556

9

Cài đặt Chrome mà bạn tham khảo là vô hiệu hóa chính sách gốc.

Điều này cũng được đề cập trong chủ đề này: Tắt chính sách gốc của firefox

about: config -> security.fileuri.strict_origin_policy -> false

— mạnh mẽ
nguồn

40

đặt cài đặt này thành false không có bất kỳ tác dụng nào; các yêu cầu vẫn bị mắc kẹt trên OPTIONS

— Anton Soradoi

7

vâng này không ảnh hưởng đến CORS, không làm bất cứ điều gì

— vknyvz

1

Điều này không có gì trên Firefox mới nhất

— Ed Orsi

7

Điều này chỉ thay đổi tệp: // Chính sách URI, không phải chính sách cần thiết

— Nick

Câu trả lời này đã khắc phục sự cố tải xuống không thành công bằng phông chữ tuyệt vời mà tôi đang gặp phải trên môi trường nhà phát triển cục bộ của mình do hạn chế nguồn gốc chéo.

— Daniel Nalbach

8

Từ câu trả lời này, tôi đã biết một tiện ích mở rộng CORS Everywhere của Firefox và nó phù hợp với tôi. Nó tạo ra các tiêu đề chặn proxy MITM để vô hiệu hóa CORS. Bạn có thể tìm thấy tiện ích này tại addons.mozilla.org hoặc tại đây .

— fireb86
nguồn

6

Kiểm tra addon của tôi hoạt động với phiên bản Firefox mới nhất, với giao diện người dùng đẹp và hỗ trợ JS regex: https://addons.mozilla.org/en-US/firefox/addon/cross-domain-cors

Cập nhật: Tôi chỉ thêm tiện ích mở rộng Chrome cho https://chrome.google.com/webstore/detail/cross-domain-cors/mjhpgnbimicffchbodmgfnemoghjakai này

— Tân Mai Vân
nguồn

3

Nó dường như không hoạt động với Firefox 55.0.3. Tuy nhiên, giao diện người dùng đẹp.

— beta

2

FWIW, cũng có Phần mở rộng CORS-Everywhere đang làm điều gì đó tương tự.

— nachtigall

1

Chỉ cần sửa lỗi và tiện ích hoạt động trở lại ngay bây giờ.

— Tan Mai Van

Làm việc cho tôi! Tôi đã cho phép CORS cho localhost và bây giờ tôi có thể kiểm tra cục bộ các ứng dụng web và API của mình mà không cần thiết lập các máy chủ phức tạp. Cảm ơn bạn!

— Arthur Khazbs

-1

Addon Firefox tốt nhất để vô hiệu hóa CORS tính đến tháng 9 năm 2016 : https://github.com/fredericlb/Force-CORS/releases

Bạn thậm chí có thể định cấu hình nó bởi Người giới thiệu (Trang web).

— Khado Mikhal
nguồn

-1

Trong khi câu hỏi đề cập đến Chrome và Firefox, có những phần mềm khác không có bảo mật tên miền chéo. Tôi đề cập đến nó cho những người bỏ qua rằng phần mềm như vậy tồn tại.

Ví dụ, PhantomJS là một công cụ tự động hóa trình duyệt, nó hỗ trợ hủy kích hoạt bảo mật tên miền chéo.

phantomjs.exe --web-security=no script.js

Xem nhận xét khác này của tôi: Chỉ số người dùng để bỏ qua chính sách cùng nguồn gốc để truy cập iframe lồng nhau

— Mar Cnu
nguồn

-1

Đối với bất kỳ ai tìm thấy câu hỏi này khi sử dụng Nightwatch.js (1.3.4), có một acceptInsecureCerts: truecài đặt trong tệp cấu hình:

firefox: {
      desiredCapabilities: {
        browserName: 'firefox',
        alwaysMatch: {
          // Enable this if you encounter unexpected SSL certificate errors in Firefox
          acceptInsecureCerts: true,
          'moz:firefoxOptions': {
            args: [
              // '-headless',
              // '-verbose'
            ],
          }
        }
      }
    },

Mở rộng đoạn mã

— flow3r
nguồn