ปิดใช้งานการรักษาความปลอดภัยเว็บข้ามโดเมนใน Firefox

109

ใน Firefox ฉันจะทำสิ่งที่เทียบเท่า--disable-web-securityใน Chrome ได้อย่างไร มีการโพสต์จำนวนมาก แต่ไม่เคยมีคำตอบที่แท้จริง ส่วนใหญ่เป็นลิงก์ไปยังส่วนเสริม (บางส่วนใช้ไม่ได้ใน Firefox รุ่นล่าสุดหรือใช้งานไม่ได้เลย) และ "คุณต้องเปิดใช้งานการสนับสนุนบนเซิร์ฟเวอร์"

นี่เป็นการทดสอบชั่วคราว ฉันทราบถึงผลกระทบด้านความปลอดภัย
ฉันไม่สามารถเปิด CORS บนเซิร์ฟเวอร์ได้และโดยเฉพาะอย่างยิ่งฉันจะไม่สามารถอนุญาต localhost หรือสิ่งที่คล้ายกันได้
ค่าสถานะหรือการตั้งค่าหรือบางอย่างจะดีกว่าปลั๊กอิน ฉันยังลอง: http://www-jo.se/f.pfleger/forcecorsแต่ต้องมีบางอย่างผิดปกติเนื่องจากคำขอของฉันกลับมาว่างเปล่าโดยสิ้นเชิง แต่คำขอเดียวกันใน Chrome กลับมาใช้ได้

อีกครั้งนี่เป็นเพียงการทดสอบก่อนที่จะผลักดันไปยัง prod ซึ่งจะอยู่ในโดเมนที่อนุญาต

— Oscar Godson
แหล่งที่มา

3

อาจซ้ำกันของนโยบาย Disable firefox ต้นกำเนิดเดียวกัน

— askewchan

1

ฉันเชื่อว่ามันเป็นไปไม่ได้ในตอนนี้นี่คือรายงานข้อผิดพลาดที่เกี่ยวข้องใน Firefox Bugzilla: bugzilla.mozilla.org/show_bug.cgi?id=1039678

— rutsky

คุณสามารถลองเพิ่ม Firefox ของฉันได้ที่นี่เพื่อปิดหรือเปิดใช้ CORS: addons.mozilla.org/en-US/firefox/addon/cross-domain-cors

— Tan Mai Van

@TanMaiVan ส่วนเสริมของคุณไม่ทำงานสำหรับฉันบน Firefox

— Khado Mikhal

@KhadoMikhal ขอบคุณสำหรับรายงาน ฉันจะตรวจสอบและแก้ไขในไม่ช้า

— Tan Mai Van

32

เกือบทุกที่ที่คุณมองไปผู้คนอ้างถึง about: config และ the security.fileuri.strict_origin_policy บางครั้งเครือข่ายด้วย http://refere.XOriginPolicy

สำหรับฉันสิ่งเหล่านี้ดูเหมือนจะไม่มีผลใด ๆ

ความคิดเห็นนี้บอกเป็นนัยว่า Firefox ไม่มีวิธีใดในตัวที่จะทำสิ่งนี้ (ณ วันที่ 2/8/14)

— ปีเตอร์
แหล่งที่มา

12

security.fileuri.strict_origin_policyช่วยเมื่อต้องการรับเนื้อหาของไฟล์ภายในเครื่องหนึ่งผ่าน AJAX ไปยังอีกไฟล์หนึ่งและไฟล์แรกไม่ได้อยู่ในโฟลเดอร์เดียวกัน (หรือในโฟลเดอร์ย่อยของโฟลเดอร์นั้น) เป็นไฟล์ที่สอง

— YakovL

ฉันคิดว่าการตั้งค่า "network.http.referer.XOriginPolicy" เป็น 1 ใช้ได้ผลสำหรับฉัน (Firefox เบต้า) ฉันไม่แน่ใจว่ามันแย่แค่ไหนที่ปล่อยไว้แบบนี้

— 16851556

9

การตั้งค่า Chrome ที่คุณอ้างถึงคือปิดใช้นโยบายต้นทางเดียวกัน

สิ่งนี้ครอบคลุมในหัวข้อนี้ด้วย: ปิดใช้งานนโยบายต้นทางเดียวกันของ firefox

เกี่ยวกับ: config -> security.fileuri.strict_origin_policy -> false

— mightilybix
แหล่งที่มา

41

การตั้งค่านี้เป็นเท็จไม่มีผลใด ๆ คำขอยังคงค้างอยู่ใน OPTIONS

— Anton Soradoi

7

ใช่สิ่งนี้ไม่มีผลกับคอร์ไม่ทำอะไรเลย

— vknyvz

1

สิ่งนี้ไม่ได้ทำอะไรเลยใน Firefox ล่าสุด

— Ed Orsi

7

นี่เป็นเพียงการเปลี่ยนไฟล์: // นโยบาย URI ไม่ใช่สิ่งที่จำเป็น

— Nick

คำตอบนี้แก้ไขปัญหาการดาวน์โหลดแบบอักษรที่ยอดเยี่ยมล้มเหลวที่ฉันพบในสภาพแวดล้อม dev ในพื้นที่ของฉันจากข้อ จำกัด ข้ามแหล่งที่มา

— Daniel Nalbach

9

จากคำตอบนี้ฉันรู้จักส่วนขยาย CORS Everywhere Firefox และใช้ได้กับฉัน สร้าง MITM proxy intercepting headers เพื่อปิดใช้งาน CORS คุณสามารถค้นหาส่วนขยายที่addons.mozilla.orgหรือนี่

— ไฟไหม้ 86
แหล่งที่มา

firefox ไม่อนุญาตให้มีตัวเลือกสำหรับวิศวกรในการปิดการใช้งาน CORS สำหรับการพัฒนา แต่ชีวิตเอ่อพบวิธี

— Patrick Michaelsen

6

ตรวจสอบส่วนเสริมของฉันที่ใช้งานได้กับ Firefox เวอร์ชันล่าสุดพร้อม UI ที่สวยงามและรองรับ JS regex: https://addons.mozilla.org/en-US/firefox/addon/cross-domain-cors

Update: ฉันเพิ่งเพิ่มส่วนขยาย Chrome สำหรับhttps://chrome.google.com/webstore/detail/cross-domain-cors/mjhpgnbimicffchbodmgfnemoghjakai

— แทนไม้รถตู้
แหล่งที่มา

3

ดูเหมือนจะใช้ไม่ได้กับ Firefox 55.0.3 UI ที่ดีแม้ว่า

— เบต้า

2

FWIW นอกจากนี้ยังมีส่วนขยาย CORS-Everywhere ที่ทำสิ่งที่คล้ายกัน

— nachtigall

1

เพิ่งแก้ไขข้อบกพร่องและส่วนเสริมในการทำงานอีกครั้งตอนนี้

— Tan Mai Van

ใช้ได้ผลสำหรับฉัน! ฉันอนุญาต CORS สำหรับ localhost และตอนนี้ฉันสามารถทดสอบเว็บแอปและ API ในเครื่องได้โดยไม่ต้องตั้งค่าเซิร์ฟเวอร์ที่ซับซ้อน ขอบคุณ!

— Arthur Khazbs

-1

Firefox Addon ที่ดีที่สุดเพื่อปิดการใช้งาน CORS ณเดือนกันยายน 2559 : https://github.com/fredericlb/Force-CORS/releases

คุณสามารถกำหนดค่าได้โดยผู้อ้างอิง (เว็บไซต์)

— คาโดมิคาล
แหล่งที่มา

-1

แม้ว่าคำถามจะกล่าวถึง Chrome และ Firefox แต่ก็มีซอฟต์แวร์อื่น ๆ ที่ไม่มีการรักษาความปลอดภัยข้ามโดเมน ฉันพูดถึงสำหรับคนที่เพิกเฉยว่ามีซอฟต์แวร์ดังกล่าวอยู่

ตัวอย่างเช่น PhantomJS เป็นเอ็นจิ้นสำหรับการทำงานอัตโนมัติของเบราว์เซอร์ซึ่งสนับสนุนการปิดใช้งานการรักษาความปลอดภัยข้ามโดเมน

phantomjs.exe --web-security=no script.js

ดูความคิดเห็นอื่น ๆ ของฉัน: Userscript เพื่อข้ามนโยบายต้นกำเนิดเดียวกันสำหรับการเข้าถึง iframe ที่ซ้อนกัน

— Mar Cnu
แหล่งที่มา

-1

สำหรับใครก็ตามที่พบคำถามนี้ขณะใช้ Nightwatch.js (1.3.4) จะมีการ acceptInsecureCerts: trueตั้งค่าในไฟล์ config ดังนี้

firefox: {
      desiredCapabilities: {
        browserName: 'firefox',
        alwaysMatch: {
          // Enable this if you encounter unexpected SSL certificate errors in Firefox
          acceptInsecureCerts: true,
          'moz:firefoxOptions': {
            args: [
              // '-headless',
              // '-verbose'
            ],
          }
        }
      }
    },

ขยายข้อมูลโค้ด

— flow3r
แหล่งที่มา