Désactiver la sécurité web inter-domaines dans Firefox

Question

Dans Firefox, comment faire l'équivalent de --disable-web-security dans Chrome. Cette question a été postée à de nombreuses reprises, mais n'a jamais reçu de véritable réponse. La plupart sont des liens vers des modules complémentaires (dont certains ne fonctionnent pas dans la dernière version de Firefox ou ne fonctionnent pas du tout) et "il suffit d'activer le support sur le serveur".

1. C'est temporaire pour tester. Je connais les implications en matière de sécurité.
2. Je ne peux pas activer CORS sur le serveur et je ne pourrai surtout pas autoriser localhost ou autre.
3. Un drapeau, ou un paramètre, ou quelque chose serait bien mieux qu'un plugin. J'ai aussi essayé : http://www-jo.se/f.pfleger/forcecors Mais il doit y avoir un problème puisque mes requêtes reviennent complètement vides, alors que les mêmes requêtes dans Chrome reviennent bien.

Encore une fois, il ne s'agit que d'un test avant de passer à la production qui, alors, serait dans un domaine autorisé.

Answer 1

Presque partout, les gens font référence à about:config et à security.fileuri.strict_origin_policy. Parfois aussi au network.http.refere.XOriginPolicy.

Pour moi, aucune de ces mesures ne semble avoir d'effet.

Ce commentaire implique qu'il n'y a pas de moyen intégré dans Firefox pour le faire (à partir du 2/8/14).

Answer 2

De este réponse J'ai connu une extension CORS Everywhere Firefox et elle fonctionne pour moi. Elle crée des en-têtes d'interception de proxy MITM pour désactiver CORS. Vous pouvez trouver l'extension à l'adresse suivante addons.mozilla.org o ici .

Answer 3

Découvrez mon addon qui fonctionne avec la dernière version de Firefox, avec une belle interface utilisateur et un support JS regex : https://addons.mozilla.org/en-US/firefox/addon/cross-domain-cors

Mise à jour : Je viens d'ajouter une extension Chrome pour cela https://chrome.google.com/webstore/detail/cross-domain-cors/mjhpgnbimicffchbodmgfnemoghjakai

Answer 4

Le paramètre de Chrome auquel vous faites référence permet de désactiver la politique de la même origine.

Ce sujet a également été abordé dans ce fil de discussion : Désactiver la politique de même origine de Firefox

about:config -> security.fileuri.strict_origin_policy -> false

Answer 5

Je n'ai pas été en mesure de trouver une option Firefox équivalente à --disable-web-security ou un addon qui fait cela pour moi. J'en avais vraiment besoin pour certains scénarios de test où la modification du serveur web n'était pas possible. Ce qui m'a aidé, c'est l'utilisation de Fiddler pour modifier automatiquement les réponses Web afin qu'elles contiennent les bons en-têtes et que CORS ne soit plus un problème.

Les étapes sont les suivantes :

1. Violoniste ouvert.

2. Si vous êtes sur https, allez dans le menu Outils -> Options -> Https et cochez les options Capture & Décryptage https.

3. Allez dans le menu Règles -> Personnaliser les règles. Modifiez la OnBeforeResponseFunction pour qu'elle ressemble à ce qui suit, puis enregistrez :

    static function OnBeforeResponse(oSession: Session) {
       //....
       oSession.oResponse.headers.Remove("Access-Control-Allow-Origin");
       oSession.oResponse.headers.Add("Access-Control-Allow-Origin", "*");
       //...
    }

   Ainsi, chaque réponse Web devra comporter le paramètre Access-Control-Allow-Origin : *.

4. Cela ne fonctionnera toujours pas car le contrôle préalable OPTIONS passera et bloquera la demande avant que la règle ci-dessus n'ait la possibilité de modifier les en-têtes. Pour résoudre ce problème, dans la fenêtre principale de fiddler, sur le côté droit, il y a un onglet AutoResponder. Ajoutez une nouvelle règle et une nouvelle réponse : MÉTHODE:OPTIONS https://yoursite.com/ avec réponse automatique : * CORSPreflightAllow et cochez les cases : "Enable Rules" et "Unmatched requests passthrough".

Voir la photo ci-dessous à titre de référence :