Вимкніть політику Firefox того самого походження

Я розробляю локальний інструмент дослідження, який вимагає від мене вимкнути таку саму політику походження Firefox (що стосується доступу до скриптів, я не дуже переймаюся запитами між домену).

Більш конкретно, я хочу, щоб сценарії в хостовому домені мали можливість отримати доступ до довільних елементів у будь-яких iframes, вбудованих у сторінку, незалежно від їх домену.

Мені відомі попередні запитання і відповіді, в яких згадувалося про розширення CORS FF, але це не те, що мені потрібно, оскільки це дозволяє лише CORS, але не доступ до сценарію.

Якщо це зробити неможливо легко, я також вдячний за будь-яку інформацію, яка вказує мені на конкретну частину коду FF src, яку я можу змінити, щоб відключити SOP, щоб я міг перекомпілювати FF.

Існує розширення Firefox, яке додає заголовки CORS до будь-якої відповіді HTTP, що працює над останньою Firefox ( збірка 36.0.1 ), випущеною 5 березня 2015 року . Я перевірив його, і він працює як на Windows 7, так і на Mavericks. Я проводжу вас через кроки, щоб його запрацювати.

1) Отримання розширення

Ви можете завантажити xpi звідси (автор будує) або звідси (дзеркало, можливо, не оновлюється).

Або завантажте файли з GitHub. Тепер це також на Firefox Marketplace: Завантажте тут . У цьому випадку аддон встановлюється після натискання кнопки "Установити", і ви можете перейти до кроку 4.

Якщо ви завантажили xpi, можете перейти до кроку 3. Якщо ви завантажили поштовий індекс з GitHub, перейдіть до кроку 2.

2) Побудова xpi

Вам потрібно витягнути блискавку, зайти всередину папки "cors -where-firefox-addon-master", вибрати всі елементи та зафіксувати їх. Потім перейменуйте створений zip як * .xpi

Примітка: Якщо ви використовуєте gui OS X, він може створити деякі приховані файли, тож вам краще буде скористатися командним рядком.

3) Встановлення xpi

Ви можете просто перетягнути xpi на firefox або перейти до: "about: addons", натисніть на гвинтик у верхньому правому куті та виберіть "встановити додавання з файлу", а потім виберіть файл .xpi. Тепер перезапустіть Firefox.

4) Налагодження роботи

Тепер розширення не працюватиме за замовчуванням. Вам потрібно перетягнути значок розширення на панель розширень, але не хвилюйтеся. Є картинки!

• Клацніть на меню Firefox
• Клацніть на Налаштувати

• Перетягніть CorsE до планки
• Тепер натисніть на значок, коли зелений заголовки CORS будуть додані до будь-якої відповіді HTTP

5) Тестування, чи працює

jQuery

$.get( "http://example.com/", function( data ) {
  console.log (data);
});

JavaScript

xmlhttp=new XMLHttpRequest();

xmlhttp.onreadystatechange = function() {
    if (xmlhttp.readyState == 4) {
        console.log(xmlhttp.responseText);
    }
}

xmlhttp.open("GET","http://example.com/");
xmlhttp.send();

6) Заключні міркування

Зверніть увагу, що https до http заборонено .

Можливо, існує спосіб її подолання, але це поза рамками питання.

about:config -> security.fileuri.strict_origin_policy -> false

Я зрозумів, що моя старша відповідь є оскарженою, тому що я не вказав, як конкретно відключити ту саму політику щодо джерела FF. Тут я дам більш детальну відповідь:

Попередження: для цього потрібна повторна компіляція FF, і щойно складена версія Firefox не зможе знову включити SOP.

Ознайомтеся з вихідним кодом Mozilla Firefox, знайдіть nsScriptSecurityManager.cpp в каталозі src. Я буду використовувати приклад, наведений тут: http://mxr.mozilla.org/aviarybranch/source/caps/src/nsScriptSecurityManager.cpp

Перейдіть до реалізації функції nsScriptSecurityManager :: CheckSameOriginURI, що знаходиться на рядку 568 від 02.02.2016.

Зробіть так, щоб ця функція завжди повертала NS_OK.

Це назавжди відключить SOP.

Відповідь на додаток до браузера від @Giacomo повинна бути корисною для більшості людей, і я прийняв цю відповідь, однак для моїх особистих потреб у дослідженні (TL; тут не пояснюю) цього недостатньо, і я вважаю, що іншим дослідникам може знадобитися щось робити Я зробив тут, щоб повністю вбити SOP.

Я написав надбудову для подолання цієї проблеми у Firefox (Chrome, версія Opera скоро з’явиться). Він працює з останньою версією Firefox, з прекрасним інтерфейсом користувача та підтримкою JS regex: https://addons.mozilla.org/en-US/firefox/addon/cross-domain-cors

З вересня 2016 року цей додаток найкращий для відключення CORS : https://github.com/fredericlb/Force-CORS/releases

На панелі параметрів ви можете налаштувати, який заголовок вводити та конкретний веб-сайт, щоб його було включено автоматично.

Аддон " Корс" скрізь працює для мене, поки Firefox 68, після 68 мені потрібно налаштувати 'privacy.file_unique_origin' -> false (відкрито 'about: config'), щоб вирішити " CORS запит, а не HTTP " для нового правила того ж походження CORS введено.

In about:configadd content.cors.disable(порожній рядок).