Desative a segurança da web entre domínios no Firefox

108

No Firefox, como faço o equivalente --disable-web-securityno Chrome. Isso foi postado muito, mas nunca uma resposta verdadeira. A maioria são links para add-ons (alguns dos quais não funcionam no Firefox mais recente ou nem funcionam) e "você só precisa habilitar o suporte no servidor".

  1. Isso é temporário para testar. Eu sei as implicações de segurança.
  2. Não consigo ativar o CORS no servidor e, principalmente, nunca seria capaz de permitir localhost ou similar.
  3. Uma bandeira, configuração ou algo seria muito melhor do que um plugin. Eu também tentei: http://www-jo.se/f.pfleger/forcecors , mas algo deve estar errado, já que minhas solicitações voltaram completamente vazias, mas as mesmas solicitações no Chrome voltaram bem.

Novamente, isso é apenas para teste antes de enviar para prod, o que, então, estaria em um domínio permitido.

security firefox cross-domain cors Oscar Godson
fonte
3
possível duplicata da política de mesma origem do Firefox desativado
askewchan
1
Acredito que não seja possível agora, aqui está o relatório de bug relacionado no Firefox Bugzilla: bugzilla.mozilla.org/show_bug.cgi?id=1039678
rutsky
Você pode experimentar meu complemento do Firefox aqui para desativar ou ativar o CORS: addons.mozilla.org/en-US/firefox/addon/cross-domain-cors
Tan Mai Van
@TanMaiVan Seu addon não funcionou para mim no Firefox.
Khado Mikhal
@KhadoMikhal Obrigado pelo relatório. Vou verificar e consertar em breve.
Tan Mai Van

Respostas:

32

Quase em todos os lugares que você olha, as pessoas se referem a about: config e a security.fileuri.strict_origin_policy. Às vezes, também a network.http.refere.XOriginPolicy.

Para mim, nada disso parece surtir efeito.

Este comentário implica que não existe uma maneira embutida no Firefox para fazer isso (a partir de 08/02/2014).

Peter
fonte
12
security.fileuri.strict_origin_policyajuda quando é necessário transferir o conteúdo de um arquivo local por meio de AJAX para outro e o primeiro não estiver na mesma pasta (ou na subpasta dessa pasta) que o segundo.
YakovL de
Acho que definir "network.http.referer.XOriginPolicy" como 1 funcionou para mim (Firefox beta). Não tenho certeza de quão ruim (inseguro) é deixá-lo assim.
16851556
9

A configuração do Chrome a que você se refere é desabilitar a mesma política de origem.

Isso foi abordado neste tópico também: Desativar a política de mesma origem do firefox

sobre: ​​config -> security.fileuri.strict_origin_policy -> false

poderosamentebix
fonte
40
definir essa configuração como false não teve nenhum efeito; os pedidos ainda estão presos em OPÇÕES
Anton Soradoi
7
sim, isso não tem efeito sobre cors, não faz nada
vknyvz
1
Isso não faz nada no Firefox mais recente
Ed Orsi
7
Isso apenas muda o arquivo: // política de URI, não a necessária
Nick
Essa resposta corrigiu o problema de falha no download de fontes incríveis que eu estava tendo em meu ambiente de desenvolvimento local devido a uma restrição de origem cruzada.
Daniel Nalbach
8

Com essa resposta, conheci uma extensão CORS Everywhere Firefox e ela funciona para mim. Ele cria cabeçalhos de interceptação de proxy MITM para desativar o CORS. Você pode encontrar a extensão em addons.mozilla.org ou aqui .

fireb86
fonte
6

Confira meu complemento que funciona com a versão mais recente do Firefox, com bela IU e suporte para regex JS: https://addons.mozilla.org/en-US/firefox/addon/cross-domain-cors

Atualização: acabei de adicionar a extensão do Chrome para este https://chrome.google.com/webstore/detail/cross-domain-cors/mjhpgnbimicffchbodmgfnemoghjakai

insira a descrição da imagem aqui

Tan Mai Van
fonte
3
Parece não funcionar com o Firefox 55.0.3. Boa IU, no entanto.
beta de
2
FWIW, há também a extensão CORS-Everywhere fazendo algo semelhante.
nachtigall
1
Acabei de corrigir o bug e o complemento está funcionando novamente agora.
Tan Mai Van
Funciona para mim! Eu permiti CORS para localhost e agora posso testar meus aplicativos web e APIs localmente sem configurar servidores complicados. Obrigado!
Arthur Khazbs
-1

Embora a pergunta mencione o Chrome e o Firefox, existem outros softwares sem segurança entre domínios. Menciono isso para as pessoas que ignoram a existência de tal software.

Por exemplo, PhantomJS é um mecanismo para automação de navegador, ele suporta desativação de segurança entre domínios.

phantomjs.exe --web-security=no script.js

Veja este outro comentário meu: script de usuário para ignorar a política de mesma origem para acessar iframes aninhados

Mar Cnu
fonte
-1

Para qualquer um que tenha essa pergunta ao usar Nightwatch.js (1.3.4), há uma acceptInsecureCerts: trueconfiguração no arquivo de configuração:

firefox: {
      desiredCapabilities: {
        browserName: 'firefox',
        alwaysMatch: {
          // Enable this if you encounter unexpected SSL certificate errors in Firefox
          acceptInsecureCerts: true,
          'moz:firefoxOptions': {
            args: [
              // '-headless',
              // '-verbose'
            ],
          }
        }
      }
    },
Expandir trecho

flow3r
fonte