Désactiver la sécurité Web interdomaine dans Firefox

108

Dans Firefox, comment faire l'équivalent de --disable-web-securityChrome. Cela a été beaucoup publié, mais jamais une vraie réponse. La plupart sont des liens vers des modules complémentaires (dont certains ne fonctionnent pas dans la dernière version de Firefox ou ne fonctionnent pas du tout) et "il vous suffit d'activer le support sur le serveur".

  1. Ceci est temporaire à tester. Je connais les implications pour la sécurité.
  2. Je ne peux pas activer CORS sur le serveur et je ne pourrais surtout jamais autoriser localhost ou similaire.
  3. Un drapeau, un paramètre ou quelque chose serait bien mieux qu'un plugin. J'ai aussi essayé: http://www-jo.se/f.pfleger/forcecors , mais quelque chose ne va pas car mes demandes reviennent comme complètement vides, mais les mêmes demandes dans Chrome reviennent bien.

Encore une fois, ce n'est que pour tester avant de pousser à produire qui, alors, serait sur un domaine autorisé.

security firefox cross-domain cors Oscar Godson
la source
3
duplication possible de la politique
askewchan
1
Je crois que ce n'est pas possible pour le moment, voici le rapport de bogue lié dans Firefox Bugzilla: bugzilla.mozilla.org/show_bug.cgi?id=1039678
rutsky
Vous pouvez essayer mon add-on Firefox ici pour désactiver ou activer CORS: addons.mozilla.org/en-US/firefox/addon/cross-domain-cors
Tan Mai Van
@TanMaiVan Votre addon n'a pas fonctionné pour moi sur Firefox.
Khado Mikhal
@KhadoMikhal Merci pour le rapport. Je vais le vérifier et le réparer bientôt.
Tan Mai Van

Réponses:

32

Presque partout où vous regardez, les gens se réfèrent à about: config et security.fileuri.strict_origin_policy. Parfois aussi le network.http.refere.XOriginPolicy.

Pour moi, aucun de ces éléments ne semble avoir d'effet.

Ce commentaire implique qu'il n'y a pas de moyen intégré dans Firefox pour faire cela (à partir du 08/02/14).

Peter
la source
12
security.fileuri.strict_origin_policyaide quand on a besoin d'obtenir le contenu d'un fichier local via AJAX dans un autre et que le premier n'est pas dans le même dossier (ou dans le sous-dossier de ce dossier) que le second.
YakovL
Je pense que le réglage de "network.http.referer.XOriginPolicy" à 1 a fonctionné pour moi (Firefox beta). Je ne sais pas à quel point il est mauvais (peu sûr) de le laisser comme ça.
16851556
9

Le paramètre Chrome auquel vous faites référence consiste à désactiver la même politique d'origine.

Cela a également été traité dans ce fil: Désactiver la politique d'origine de Firefox

à propos de: config -> security.fileuri.strict_origin_policy -> false

mightilybix
la source
40
définir ce paramètre sur false n'a eu aucun effet; les demandes sont toujours bloquées sur OPTIONS
Anton Soradoi
7
oui cela n'a aucun effet sur les cors, ne fait rien
vknyvz
1
Cela ne fait rien sur Firefox dernier
Ed Orsi
7
Cela change juste le fichier: // stratégie URI, pas celle nécessaire
Nick
Cette réponse a corrigé le problème d'échec du téléchargement de font-awesome que j'avais sur mon environnement de développement local à cause d'une restriction d'origine croisée.
Daniel Nalbach le
8

De cette réponse, j'ai connu une extension Firefox CORS Everywhere et cela fonctionne pour moi. Il crée des en-têtes d'interception de proxy MITM pour désactiver CORS. Vous pouvez trouver l'extension sur addons.mozilla.org ou ici .

fireb86
la source
6

Découvrez mon addon qui fonctionne avec la dernière version de Firefox, avec une belle interface utilisateur et prend en charge JS regex: https://addons.mozilla.org/en-US/firefox/addon/cross-domain-cors

Mise à jour: je viens d'ajouter l'extension Chrome pour cela https://chrome.google.com/webstore/detail/cross-domain-cors/mjhpgnbimicffchbodmgfnemoghjakai

entrez la description de l'image ici

Tan Mai Van
la source
3
Cela ne semble pas fonctionner avec Firefox 55.0.3. Belle interface utilisateur, cependant.
bêta du
2
FWIW, il y a aussi l' extension CORS-Everywhere qui fait quelque chose de similaire.
nachtigall
1
Je viens de corriger le bug et l'ajout sur le travail à nouveau maintenant.
Tan Mai Van
Travaille pour moi! J'ai autorisé CORS pour localhost et maintenant je peux tester mes applications Web et API localement sans configurer de serveurs compliqués. Je vous remercie!
Arthur Khazbs
-1

Alors que la question mentionne Chrome et Firefox, il existe d'autres logiciels sans sécurité interdomaine. Je le mentionne pour les personnes qui ignorent qu'un tel logiciel existe.

Par exemple, PhantomJS est un moteur d'automatisation du navigateur, il prend en charge la désactivation de la sécurité interdomaine.

phantomjs.exe --web-security=no script.js

Voir cet autre commentaire du mien: Userscript pour contourner la politique de même origine pour accéder aux iframes imbriquées

Mar Cnu
la source
-1

Pour quiconque trouve cette question en utilisant Nightwatch.js (1.3.4), il y a un acceptInsecureCerts: trueparamètre dans le fichier de configuration:

firefox: {
      desiredCapabilities: {
        browserName: 'firefox',
        alwaysMatch: {
          // Enable this if you encounter unexpected SSL certificate errors in Firefox
          acceptInsecureCerts: true,
          'moz:firefoxOptions': {
            args: [
              // '-headless',
              // '-verbose'
            ],
          }
        }
      }
    },
Développer l'extrait

flow3r
la source