Firefoxの同じ生成元のポリシーを無効にする

私は、Firefoxの同じ生成元ポリシーをオフにするように要求するローカルの調査ツールを開発しています（スクリプトアクセスに関しては、クロスドメインリクエストについては特に気にしません）。

具体的には、ホストドメインのスクリプトが、ドメインに関係なく、ページに埋め込まれたiframe内の任意の要素にアクセスできるようにしたいと考えています。

CORS FF拡張機能について言及した以前のQ＆Aは知っていますが、それはCORSのみを許可し、スクリプトアクセスは許可しないため、私が必要とするものではありません。

簡単に実行できない場合は、FFを再コンパイルできるようにSOPを無効にするために変更できるFF srcコードの特定の部分を指摘する洞察もいただければ幸いです。

2015年3月5日にリリースされた最新のFirefox（ビルド36.0.1）で動作するHTTP応答にCORSヘッダーを追加するFirefox拡張機能があります。私はそれをテストし、それはWindows 7とマーベリックスの両方で動作しています。機能させるための手順を説明します。

1）拡張機能を取得する

xpiは、ここ（作成者ビルド）またはここ （ミラー、更新されない場合があります）からダウンロードできます。

または、GitHubからファイルをダウンロードします。現在、Firefox Marketplaceにもあります。ここからダウンロードしてください。この場合、アドオンは[インストール]をクリックするとインストールされ、ステップ4にスキップできます。

xpiをダウンロードした場合は、ステップ3にジャンプできます。GitHubからzipをダウンロードした場合は、ステップ2に進みます。

2）xpiのビルド

zipを抽出し、「cors-everywhere-firefox-addon-master」フォルダー内に移動して、すべてのアイテムを選択し、zipする必要があります。次に、作成したzipの名前を* .xpiに変更します。

注：OS XのGUIを使用している場合は、いくつかの隠しファイルが作成される可能性があるため、コマンドラインを使用することをお勧めします。

3）xpiのインストール

xpiをfirefoxにドラッグアンドドロップするか、「about：addons」に移動し、右上隅の歯車をクリックして、「ファイルからアドオンをインストール」を選択し、.xpiファイルを選択します。次に、Firefoxを再起動します。

4）機能させる

現在、拡張機能はデフォルトでは機能しません。拡張機能アイコンを拡張機能バーにドラッグする必要がありますが、心配はいりません。写真あり！

• Firefoxメニューをクリックします
• カスタマイズをクリックします

• CorsEをバーにドラッグします
• 次に、アイコンをクリックします。緑色の場合、CORSヘッダーがHTTP応答に追加されます。

5）機能しているかどうかのテスト

jQuery

$.get( "http://example.com/", function( data ) {
  console.log (data);
});

JavaScript

xmlhttp=new XMLHttpRequest();

xmlhttp.onreadystatechange = function() {
    if (xmlhttp.readyState == 4) {
        console.log(xmlhttp.responseText);
    }
}

xmlhttp.open("GET","http://example.com/");
xmlhttp.send();

6）最終的な考慮事項

httpsからhttpは許可されないことに注意してください。

それを回避する方法があるかもしれませんが、それは質問の範囲の背後にあります。

about:config -> security.fileuri.strict_origin_policy -> false

FFの同じオリジンポリシーを無効にする方法を具体的に指定しなかったため、以前の回答が反対票であることに気付きました。ここで私はより詳細な答えを与えます：

警告：これにはFFの再コンパイルが必要であり、新しくコンパイルされたバージョンのFirefoxはSOPを再度有効にすることができません。

MozillaのFirefoxのソースコードを調べ、srcディレクトリでnsScriptSecurityManager.cppを見つけてください。ここにリストされているものを例として使用します：http : //mxr.mozilla.org/aviarybranch/source/caps/src/nsScriptSecurityManager.cpp

関数実装nsScriptSecurityManager :: CheckSameOriginURIに移動します。これは、2016年3月2日の時点で568行目です。

その関数が常にNS_OKを返すようにします。

これにより、SOPが完全に無効になります。

@Giacomoによるブラウザアドオンの回答はほとんどの人にとって役立つはずですが、私はその回答を受け入れましたが、私の個人的な研究のニーズ（TL;ここでは説明しません）に対しては十分ではなく、他の研究者が何をする必要があるかもしれませんSOPを完全に殺すためにここでやった。

私はFirefoxでこの問題を克服するためのアドオンを作成しました（Chrome、Operaバージョンはまもなくリリースされます）。それは、美しいUIとJS正規表現をサポートする最新のFirefoxバージョンで動作します：https : //addons.mozilla.org/en-US/firefox/addon/cross-domain-cors

のとして2016年9月、このアドオンは無効にすることをお勧めしCORS：https://github.com/fredericlb/Force-CORS/releases

オプションパネルで、挿入するヘッダーと特定のWebサイトを構成して、自動的に有効にすることができます。

CORS-どこにでも解決するために「：（「設定について」オープンによる）>偽- 「privacy.file_unique_origin」を調整する68 I必要性後のFirefox 68までの私のためにアドオン作品、CORSがHTTPない要求新しいCORS同一生成元のルールは」導入されました。

ではabout:configアドオンcontent.cors.disable（空の文字列）。