Disabilita la sicurezza web interdominio in Firefox

108

In Firefox, come faccio a fare l'equivalente di --disable-web-securityin Chrome. Questo è stato pubblicato molto, ma mai una vera risposta. La maggior parte sono collegamenti a componenti aggiuntivi (alcuni dei quali non funzionano nell'ultimo Firefox o non funzionano affatto) e "è sufficiente abilitare il supporto sul server".

Questo è temporaneo da testare. Conosco le implicazioni per la sicurezza.
Non riesco ad attivare CORS sul server e soprattutto non sarei mai in grado di consentire localhost o simili.
Una bandiera, o un'impostazione, o qualcosa del genere sarebbe molto meglio di un plugin. Ho anche provato: http://www-jo.se/f.pfleger/forcecors , ma qualcosa deve essere sbagliato poiché le mie richieste tornano completamente vuote, ma le stesse richieste in Chrome tornano bene.

Di nuovo, questo è solo per il test prima di spingere a prod che, quindi, sarebbe su un dominio consentito.

— Oscar Godson
fonte

3

possibile duplicato di Disable firefox same origin policy

— askewchan

1

Credo che non sia possibile in questo momento, ecco la relativa segnalazione di bug in Firefox Bugzilla: bugzilla.mozilla.org/show_bug.cgi?id=1039678

— rutsky

Puoi provare il mio componente aggiuntivo Firefox qui per disabilitare o abilitare CORS: addons.mozilla.org/en-US/firefox/addon/cross-domain-cors

— Tan Mai Van

@TanMaiVan Il tuo addon non ha funzionato per me su Firefox.

— Khado Mikhal,

@KhadoMikhal Grazie per la segnalazione. Lo controllerò e lo sistemerò presto.

— Tan Mai Van,

32

Quasi ovunque guardi, le persone fanno riferimento a about: config e security.fileuri.strict_origin_policy. A volte anche il file network.http.refere.XOriginPolicy.

Per me, nessuno di questi sembra avere alcun effetto.

Questo commento implica che non esiste un modo integrato in Firefox per farlo (a partire dal 2/8/14).

— Peter
fonte

12

security.fileuri.strict_origin_policyaiuta quando è necessario trasferire il contenuto di un file locale tramite AJAX in un altro e il primo non si trova nella stessa cartella (o nella sottocartella di quella cartella) del secondo.

— YakovL

Penso che l'impostazione di "network.http.referer.XOriginPolicy" su 1 abbia funzionato per me (Firefox beta). Non sono sicuro di quanto sia brutto (insicuro) lasciarlo così.

— 16851556

9

L'impostazione di Chrome a cui fai riferimento è disabilitare lo stesso criterio di origine.

Questo è stato trattato anche in questo thread: Disabilita la stessa politica di origine di Firefox

about: config -> security.fileuri.strict_origin_policy -> false

— mightilybix
fonte

40

l'impostazione di questa impostazione su false non ha avuto alcun effetto; le richieste sono ancora bloccate su OPZIONI

— Anton Soradoi

7

sì, questo non ha effetto su cors, non fa nulla

— vknyvz

1

Questo non fa nulla sull'ultimo Firefox

— Ed Orsi

7

Questo cambia solo file: // politica URI, non quella necessaria

— Nick

Questa risposta ha risolto il problema di download non riuscito di font-awesome che stavo avendo nel mio ambiente di sviluppo locale da una restrizione cross-origin.

— Daniel Nalbach

8

Da questa risposta ho conosciuto un'estensione CORS Everywhere per Firefox e funziona per me. Crea intestazioni di intercettazione proxy MITM per disabilitare CORS. Puoi trovare l'estensione su addons.mozilla.org o qui .

— fireb86
fonte

6

Controlla il mio addon che funziona con l'ultima versione di Firefox, con una bellissima interfaccia utente e supporta JS regex: https://addons.mozilla.org/en-US/firefox/addon/cross-domain-cors

Aggiornamento: aggiungo solo l'estensione Chrome per questo https://chrome.google.com/webstore/detail/cross-domain-cors/mjhpgnbimicffchbodmgfnemoghjakai

— Tan Mai Van
fonte

3

Non sembra funzionare con Firefox 55.0.3. Bella interfaccia utente, però.

— beta

2

FWIW, c'è anche l' estensione CORS-Everywhere che fa qualcosa di simile.

— nachtigall

1

Ho appena corretto il bug e l'add on funziona di nuovo ora.

— Tan Mai Van

Per me va bene! Ho consentito CORS per localhost e ora posso testare le mie app Web e API localmente senza configurare server complicati. Grazie!

— Arthur Khazbs,

-1

Miglior componente aggiuntivo di Firefox per disabilitare CORS a partire da settembre 2016 : https://github.com/fredericlb/Force-CORS/releases

Puoi anche configurarlo da Referrer (sito web).

— Khado Mikhal
fonte

-1

Mentre la domanda menziona Chrome e Firefox, ci sono altri software senza sicurezza interdominio. Lo menziono per le persone che ignorano l'esistenza di tale software.

Ad esempio, PhantomJS è un motore per l'automazione del browser, supporta la disattivazione della sicurezza tra domini.

phantomjs.exe --web-security=no script.js

Vedi questo mio altro commento: Userscript per aggirare la politica della stessa origine per l'accesso agli iframe nidificati

— Mar Cnu
fonte

-1

Per chiunque trovi questa domanda durante l'utilizzo di Nightwatch.js (1.3.4), c'è acceptInsecureCerts: trueun'impostazione nel file di configurazione:

firefox: {
      desiredCapabilities: {
        browserName: 'firefox',
        alwaysMatch: {
          // Enable this if you encounter unexpected SSL certificate errors in Firefox
          acceptInsecureCerts: true,
          'moz:firefoxOptions': {
            args: [
              // '-headless',
              // '-verbose'
            ],
          }
        }
      }
    },

Espandi lo snippet

— flow3r
fonte