Firefox'ta etki alanları arası web güvenliğini devre dışı bırakın

108

Firefox'ta, --disable-web-securityChrome'daki eşdeğerini nasıl yaparım . Bu çokça yayınlandı, ama asla doğru bir cevap değil. Çoğu eklenti bağlantılarıdır (bazıları en son Firefox'ta çalışmaz veya hiç çalışmaz) ve "yalnızca sunucuda desteği etkinleştirmeniz gerekir".

  1. Bu geçici bir testtir. Güvenlik sonuçlarını biliyorum.
  2. Sunucuda CORS'u açamıyorum ve özellikle de localhost veya benzerine asla izin veremem.
  3. Bir bayrak, ayar veya bir şey bir eklentiden çok daha iyi olurdu. Ayrıca şunu denedim: http://www-jo.se/f.pfleger/forcecors , ancak isteklerim tamamen boş olarak geri döndüğü için bir şeyler yanlış olmalı, ancak Chrome'daki aynı istekler iyi geri geliyor.

Yine, bu yalnızca, izin verilen bir alanda olacak olan prod'a zorlamadan önce test etmek içindir.

security  firefox  cross-domain  cors 
Oscar Godson
kaynak
3
devre dışı bırakmanın
1
Şu anda bunun mümkün olmadığına inanıyorum, işte Firefox ile ilgili hata raporu Bugzilla: bugzilla.mozilla.org/show_bug.cgi?id=1039678
rutsky
Tan Mai Van
@TanMaiVan Eklentiniz Firefox'ta benim için çalışmadı.
Khado Mikhal
@KhadoMikhal Rapor için teşekkürler. Yakında kontrol edip düzelteceğim.
Tan Mai Van

Yanıtlar:

32

Neredeyse baktığınız her yerde insanlar about: config ve security.fileuri.strict_origin_policy'ye başvururlar. Bazen network.http.refere.XOriginPolicy de.

Benim için bunların hiçbirinin bir etkisi yok gibi görünüyor.

Bu yorum , Firefox'ta bunu yapmak için yerleşik bir yol olmadığını ima eder (2/8/14 itibariyle).

Peter
kaynak
12
security.fileuri.strict_origin_policybir yerel dosyanın içeriğini AJAX aracılığıyla diğerine almanız gerektiğinde ve ilki, ikincisiyle aynı klasörde (veya bu klasörün alt klasöründe) olmadığında yardımcı olur.
YakovL
"network.http.referer.XOriginPolicy" ayarının benim için çalıştığını düşünüyorum (Firefox beta). Onu böyle bırakmanın ne kadar kötü (güvensiz) olduğundan emin değilim.
16851556
9

Bahsettiğiniz Chrome ayarı, aynı kaynak politikasını devre dışı bırakmaktır.

Bu, bu ileti dizisinde de ele alındı: Firefox ile aynı menşe politikasını devre dışı bırakın

about: config -> security.fileuri.strict_origin_policy -> false

Mightilybix
kaynak
40
bu ayarı yanlış olarak ayarlamanın herhangi bir etkisi olmadı; istekler hala OPTIONS'da takılı kaldı
Anton Soradoi
7
evet bunun korseler üzerinde bir etkisi yoktur, hiçbir şey yapmaz
vknyvz
1
Bu, en son Firefox'ta hiçbir şey yapmaz
Ed Orsi
7
Bu sadece file: // URI politikasını değiştirir, gerekli olanı değil
Nick
Bu cevap, yerel geliştirici ortamımda çapraz kaynak kısıtlamasından dolayı yaşadığım font-harika indirme başarısız sorununu düzeltti.
Daniel Nalbach
8

Gönderen bu cevabın bir Heryerde CORS'yi Firefox uzantısı tanıyorum ve o benim için çalışıyor. CORS'yi devre dışı bırakmak için başlıkları yakalayan MITM proxy'si oluşturur. Uzantıyı addons.mozilla.org adresinde veya burada bulabilirsiniz .

fireb86
kaynak
6

Güzel kullanıcı arayüzüne sahip en son Firefox sürümüyle çalışan ve JS regex'i destekleyen eklentime bir göz atın: https://addons.mozilla.org/en-US/firefox/addon/cross-domain-cors

Güncelleme: Sadece Chrome uzantısı ekliyorum bunun için https://chrome.google.com/webstore/detail/cross-domain-cors/mjhpgnbimicffchbodmgfnemoghjakai

görüntü açıklamasını buraya girin

Tan Mai Van
kaynak
3
Firefox 55.0.3 ile çalışmıyor gibi görünüyor. Yine de güzel kullanıcı arayüzü.
beta
2
FWIW, CORS-Everywhere Uzantısı da benzer bir şey yapıyor.
nachtigall
1
Sadece hatayı düzelttim ve eklenti şimdi tekrar çalışmaya devam ediyor.
Tan Mai Van
Benim için çalışıyor! Localhost için CORS'a izin verdim ve şimdi web uygulamalarımı ve API'lerimi karmaşık sunucular kurmadan yerel olarak test edebiliyorum. Teşekkür ederim!
Arthur Khazbs
-1

Soru Chrome ve Firefox'tan bahsederken, etki alanları arası güvenliği olmayan başka yazılımlar da var. Böyle bir yazılımın var olduğunu görmezden gelenler için bundan bahsediyorum.

Örneğin PhantomJS, tarayıcı otomasyonu için bir motordur, etki alanları arası güvenlik devre dışı bırakmayı destekler.

phantomjs.exe --web-security=no script.js

Şu diğer yorumuma bakın: İç içe geçmiş iframe'lere erişmek için aynı kaynak politikasını atlamak için Userscript

Mar Cnu
kaynak
-1

Nightwatch.js (1.3.4) kullanırken bu soruyu bulan herkes için acceptInsecureCerts: true, yapılandırma dosyasında bir ayar vardır:

firefox: {
      desiredCapabilities: {
        browserName: 'firefox',
        alwaysMatch: {
          // Enable this if you encounter unexpected SSL certificate errors in Firefox
          acceptInsecureCerts: true,
          'moz:firefoxOptions': {
            args: [
              // '-headless',
              // '-verbose'
            ],
          }
        }
      }
    },
Snippet'i genişlet

flow3r
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.