Deaktivieren Sie die domänenübergreifende Websicherheit in Firefox

108

Wie mache ich in Firefox das Äquivalent zu --disable-web-securityin Chrome? Dies wurde viel gepostet, aber nie eine echte Antwort. Die meisten sind Links zu Add-Ons (von denen einige in der neuesten Version von Firefox nicht oder überhaupt nicht funktionieren) und "Sie müssen nur den Support auf dem Server aktivieren".

  1. Dies ist vorübergehend zu testen. Ich kenne die Auswirkungen auf die Sicherheit.
  2. Ich kann CORS auf dem Server nicht aktivieren und würde insbesondere niemals localhost oder ähnliches zulassen.
  3. Eine Flagge oder Einstellung oder etwas wäre viel besser als ein Plugin. Ich habe auch versucht: http://www-jo.se/f.pfleger/forcecors , aber etwas muss falsch sein, da meine Anfragen als vollständig leer zurückkommen, aber dieselben Anfragen in Chrome gut zurückkommen.

Dies dient wiederum nur zum Testen, bevor auf prod geschoben wird, das sich dann in einer zulässigen Domäne befindet.

security firefox cross-domain cors Oscar Patensohn
quelle
3
Mögliches Duplikat der Richtlinie zum
Deaktivieren
1
Ich glaube, es ist momentan
Rutsky
Sie können mein Firefox-Add-On hier ausprobieren, um CORS zu deaktivieren oder zu aktivieren: addons.mozilla.org/en-US/firefox/addon/cross-domain-cors
Tan Mai Van
@ TanMaiVan Dein Addon hat bei Firefox bei mir nicht funktioniert.
Khado Mikhal
@ KhadoMikhal Danke für den Bericht. Ich werde es bald überprüfen und beheben.
Tan Mai Van

Antworten:

32

Fast überall, wo Sie hinschauen, beziehen sich die Leute auf about: config und security.fileuri.strict_origin_policy. Manchmal auch die network.http.refere.XOriginPolicy.

Für mich scheint keines davon eine Wirkung zu haben.

Dieser Kommentar impliziert, dass es in Firefox keine integrierte Möglichkeit gibt, dies zu tun (Stand 08.02.14).

Peter
quelle
12
security.fileuri.strict_origin_policyHilft, wenn der Inhalt einer lokalen Datei über AJAX in eine andere übertragen werden muss und sich die erste nicht im selben Ordner (oder im Unterordner dieses Ordners) wie die zweite befindet.
YakovL
Ich denke, dass die Einstellung "network.http.referer.XOriginPolicy" auf 1 für mich funktioniert hat (Firefox Beta). Ich bin mir nicht sicher, wie schlimm (unsicher) es ist, es so zu lassen.
16851556
9

Die Chrome-Einstellung, auf die Sie sich beziehen, dient zum Deaktivieren derselben Ursprungsrichtlinie.

Dies wurde auch in diesem Thread behandelt: Deaktivieren Sie die Firefox-Richtlinie für denselben Ursprung

about: config -> security.fileuri.strict_origin_policy -> false

mächtigbix
quelle
40
Das Setzen dieser Einstellung auf false hatte keine Auswirkung. Die Anfragen stecken noch in OPTIONEN
Anton Soradoi
7
ja das hat keine
auswirkung
1
Dies macht nichts auf Firefox spätestens
Ed Orsi
7
Dies ändert nur die Datei: // URI-Richtlinie, nicht die benötigte
Nick
Diese Antwort behebt das Problem mit dem fehlgeschlagenen Herunterladen von Schriftarten, das ich in meiner lokalen Entwicklungsumgebung aufgrund einer Einschränkung zwischen verschiedenen Ursprüngen hatte.
Daniel Nalbach
8

Aus dieser Antwort kenne ich eine CORS Everywhere Firefox-Erweiterung, die für mich funktioniert. Es erstellt MITM-Proxy-Intercepting-Header, um CORS zu deaktivieren. Sie finden die Erweiterung unter addons.mozilla.org oder hier .

fireb86
quelle
6

Schauen Sie sich mein Addon an, das mit der neuesten Firefox-Version mit wunderschöner Benutzeroberfläche funktioniert und JS-Regex unterstützt: https://addons.mozilla.org/en-US/firefox/addon/cross-domain-cors

Update: Ich füge nur die Chrome-Erweiterung hinzu hierfür https://chrome.google.com/webstore/detail/cross-domain-cors/mjhpgnbimicffchbodmgfnemoghjakai

Geben Sie hier die Bildbeschreibung ein

Tan Mai Van
quelle
3
Es scheint nicht mit Firefox 55.0.3 zu funktionieren. Schöne Benutzeroberfläche.
Beta
2
FWIW, es gibt auch die CORS-Everywhere-Erweiterung , die etwas Ähnliches tut.
Nachtigall
1
Habe gerade den Fehler behoben und das Add-On funktioniert jetzt wieder.
Tan Mai Van
Funktioniert bei mir! Ich habe CORS für localhost zugelassen und kann jetzt meine Webanwendungen und APIs lokal testen, ohne komplizierte Server einzurichten. Danke dir!
Arthur Khazbs
-1

Während in der Frage Chrome und Firefox erwähnt werden, gibt es andere Software ohne domänenübergreifende Sicherheit. Ich erwähne es für Leute, die ignorieren, dass solche Software existiert.

Zum Beispiel ist PhantomJS eine Engine für die Browser-Automatisierung, die die Deaktivierung der domänenübergreifenden Sicherheit unterstützt.

phantomjs.exe --web-security=no script.js

Siehe meinen anderen Kommentar von mir: Userscript, um die Richtlinie mit demselben Ursprung für den Zugriff auf verschachtelte Iframes zu umgehen

Mar Cnu
quelle
-1

Für alle, die diese Frage bei Verwendung von Nightwatch.js (1.3.4) finden, gibt es eine acceptInsecureCerts: trueEinstellung in der Konfigurationsdatei:

firefox: {
      desiredCapabilities: {
        browserName: 'firefox',
        alwaysMatch: {
          // Enable this if you encounter unexpected SSL certificate errors in Firefox
          acceptInsecureCerts: true,
          'moz:firefoxOptions': {
            args: [
              // '-headless',
              // '-verbose'
            ],
          }
        }
      }
    },
Erweitern Sie das Snippet

flow3r
quelle