Disabilita la stessa politica di origine di Firefox

Sto sviluppando uno strumento di ricerca locale che mi richiede di disattivare la stessa politica di origine di Firefox (in termini di accesso agli script, non mi interessano molto le richieste interdominio).

Più specificamente, desidero che gli script nel dominio host siano in grado di accedere a elementi arbitrari in qualsiasi iframe incorporato nella pagina, indipendentemente dal loro dominio.

Sono a conoscenza delle precedenti domande e risposte che menzionavano l'estensione CORS FF, ma non è ciò di cui ho bisogno, poiché consente solo CORS, ma non l'accesso agli script.

Se non può essere fatto facilmente, apprezzerei anche qualsiasi approfondimento che mi indichi una parte specifica del codice FF src che posso modificare per disabilitare SOP, in modo da poter ricompilare FF.

C'è un'estensione per Firefox che aggiunge le intestazioni CORS a qualsiasi risposta HTTP funzionante sull'ultimo Firefox ( build 36.0.1 ) rilasciato il 5 marzo 2015 . L'ho testato e funziona sia su Windows 7 che su Mavericks. Ti guiderò attraverso i passaggi per farlo funzionare.

1) Ottenere l'estensione

Puoi scaricare l'xpi da qui (build dell'autore) o da qui (mirror, potrebbe non essere aggiornato).

Oppure scarica i file da GitHub. Ora è anche su Firefox Marketplace: scaricalo qui . In questo caso, l'addon viene installato dopo aver fatto clic su Installa e puoi andare al passaggio 4.

Se hai scaricato l'xpi puoi andare al passaggio 3. Se hai scaricato lo zip da GitHub, vai al passaggio 2.

2) Costruire il file xpi

È necessario estrarre lo zip, entrare nella cartella "cors-ovunque-firefox-addon-master", selezionare tutti gli elementi e comprimerli. Quindi, rinomina lo zip creato come * .xpi

Nota: se stai usando la GUi di OS X, potrebbe creare alcuni file nascosti, quindi sarebbe meglio usare la riga di comando.

3) Installazione di xpi

Puoi semplicemente trascinare e rilasciare l'xpi su Firefox, o andare su: "about: addons", fare clic sull'ingranaggio nell'angolo in alto a destra e selezionare "installa componente aggiuntivo da file", quindi selezionare il file .xpi. Ora riavvia Firefox.

4) Farlo funzionare

Ora l'estensione non funzionerà per impostazione predefinita. È necessario trascinare l'icona dell'estensione sulla barra delle estensioni, ma non preoccuparti. Ci sono immagini!

• Fare clic sul menu Firefox
• Fare clic su Personalizza

• Trascina CorsE sulla barra
• Ora, fai clic sull'icona, quando è verde le intestazioni CORS verranno aggiunte a qualsiasi risposta HTTP

5) Verifica se funziona

jQuery

$.get( "http://example.com/", function( data ) {
  console.log (data);
});

JavaScript

xmlhttp=new XMLHttpRequest();

xmlhttp.onreadystatechange = function() {
    if (xmlhttp.readyState == 4) {
        console.log(xmlhttp.responseText);
    }
}

xmlhttp.open("GET","http://example.com/");
xmlhttp.send();

6) Considerazioni finali

Tieni presente che da https a http non è consentito .

Potrebbe esserci un modo per aggirarlo, ma è dietro lo scopo della domanda.

about:config -> security.fileuri.strict_origin_policy -> false

Mi sono reso conto che la mia risposta precedente è stata sottovalutata perché non ho specificato come disabilitare specificamente la stessa politica di origine di FF. Qui darò una risposta più dettagliata:

Attenzione: questo richiede una ricompilazione di FF e la versione appena compilata di Firefox non sarà in grado di abilitare nuovamente SOP.

Controlla il codice sorgente di Mozilla Firefox, trova nsScriptSecurityManager.cpp nella directory src. Userò quello elencato qui come esempio: http://mxr.mozilla.org/aviarybranch/source/caps/src/nsScriptSecurityManager.cpp

Vai all'implementazione della funzione nsScriptSecurityManager :: CheckSameOriginURI, che è la riga 568 a partire dalla data 03/02/2016.

Fai in modo che quella funzione restituisca sempre NS_OK.

Questo disabiliterà SOP per sempre.

La risposta del componente aggiuntivo del browser di @Giacomo dovrebbe essere utile per la maggior parte delle persone e ho accettato quella risposta, tuttavia, per le mie esigenze di ricerca personali (TL; non spiegherò qui) non è sufficiente e immagino che altri ricercatori potrebbero aver bisogno di fare cosa L'ho fatto qui per uccidere completamente SOP.

Ho scritto un componente aggiuntivo per superare questo problema in Firefox (Chrome, la versione Opera avrà presto). Funziona con l'ultima versione di Firefox, con una bellissima interfaccia utente e supporta JS regex: https://addons.mozilla.org/en-US/firefox/addon/cross-domain-cors

A partire da settembre 2016 questo componente aggiuntivo è il migliore per disabilitare CORS : https://github.com/fredericlb/Force-CORS/releases

Nel pannello delle opzioni puoi configurare quale intestazione iniettare e sito web specifico per averla abilitata automaticamente.

L' addon cors-ovunque funziona per me fino a Firefox 68, dopo il 68 devo regolare 'privacy.file_unique_origin' -> false (aprendo 'about: config') per risolvere la ' richiesta CORS non HTTP ' per la nuova regola CORS della stessa origine introdotto.

In about:configadd content.cors.disable(stringa vuota).