GoogleのChromeブラウザで同一生成元ポリシーを無効にする方法はありますか？

クロム（またはクロム）を閉じ、--disable-web-security引数を指定して再起動します。私はこれをテストし、「localhost」から提供されるページに埋め込まれたsrc = "http://google.com"でiframeのコンテンツにアクセスできることを確認しました（chromium 5 / ubuntuでテスト済み）。私にとって正確なコマンドは：

注：コマンドを実行する前にすべてのChromeインスタンスを強制終了します

chromium-browser --disable-web-security --user-data-dir="[some directory here]"

ブラウザは、最初に開いたときに「サポートされていないコマンドラインを使用しています」という警告を表示しますが、無視してかまいません。

クロム源から：

// Don't enforce the same-origin policy. (Used by people testing their sites.)
const wchar_t kDisableWebSecurity[] = L"disable-web-security";

Chrome 48より前のバージョンでは、次のものを使用できます。

chromium-browser --disable-web-security

うん。OSXの場合は、ターミナルを開いて実行します。

$ open -a Google\ Chrome --args --disable-web-security --user-data-dir

--OSX上のChrome 49以降では--user-data-dirが必要

Linuxの場合：

$ google-chrome --disable-web-security

また、AJAXやJSONなどの開発目的でローカルファイルにアクセスしようとしている場合も、このフラグを使用できます。

-–allow-file-access-from-files

Windowsの場合、コマンドプロンプトに移動し、Chrome.exeがあるフォルダーに移動して、次のように入力します。

chrome.exe --disable-web-security

これにより、同じ生成元ポリシーが無効になり、ローカルファイルにアクセスできるようになります。

更新： Chrome 22以降の場合、次のエラーメッセージが表示されます。

サポートされていないコマンドラインフラグ--disable-web-securityを使用しています。安定性とセキュリティが低下します。

ただし、開発中はそのメッセージを無視できます。

Windowsユーザーの場合：

ここで受け入れられた解決策の問題は、私の意見では、すでにChromeを開いており、これを実行しようとしても機能しないということです。

しかし、これを調べていると、スーパーユーザーに関する投稿に出くわしました。ChromeをWebセキュリティの有無にかかわらず同時に実行することは可能ですか？。

基本的に、次のコマンドを実行する（またはショートカットを作成してそれを介してChromeを開く）

chrome.exe --user-data-dir="C:/Chrome dev session" --disable-web-security

他の「安全な」ブラウザインスタンスを開いたまま通常どおりに動作させながら、Chromeの新しい「安全でない」インスタンスを同時に開くことができます。 重要：C:/Chrome dev session2回目--disable-web-securityはウィンドウを開くたびにフォルダーを削除/クリアしても機能しません。そのため、変更を保存してから、で安全でないChromeの2番目のインスタンスとして再び開くことはできません--disable-web-security。

以下のためのWindows：

1. スタートメニューを開く
2. windows+と入力するRか、「実行」を開きます

3. 次のコマンドを実行します。

   chrome.exe --user-data-dir="C://Chrome dev session" --disable-web-security

以下のためのマック：

1. ターミナルに行く

2. 次のコマンドを実行します。

   open /Applications/Google\ Chrome.app --args --user-data-dir="/var/tmp/Chrome dev session" --disable-web-security

新しいWebセキュリティが無効なChromeブラウザが開き、次のメッセージが表示されます。

Chromeバージョン60.0.3112.78（ソリューションがテストされ機能した日）を使用しているWindowsユーザーの場合、少なくとも今日まで19.01.2019（バージョン71.0.3578.98）まで。あなたはしていない任意のクロムインスタンスを閉じる必要があります。

1. デスクトップにショートカットを作成する
2. ショートカットを右クリックし、[プロパティ]をクリックします
3. ターゲットプロパティを編集する
4. 設定してください--disable-ウェブセキュリティ--user-データ-dirの= "C：/ ChromeDevSession"： "\プログラムファイル（x86の）\ Googleの\クローム\アプリケーション\ chrome.exe C"
5. Chromeを起動し、-disable-web-security is not supportedというメッセージを無視します。

ハッキングされる可能性があるため、この特定のブラウザインスタンスをブラウジングに使用しないでください。

編集3：拡張機能はもう存在していないようです...通常、最近CORSを回避するには、別のディレクトリでChromeの別のバージョンをセットアップするか、https：//addons.mozilla.org/en-US/で Firefoxを使用します代わりにfirefox / addon / cors-everywhere /。

編集2：これを一貫して機能させることはできなくなりました。

編集：私は別のプロジェクトにちょうど先日を使用してみましたが、それは機能しなくなりました 拡張機能をアンインストールして再インストールすると修正されました（デフォルトにリセットするため）。

元の回答：

Chromeを再起動してWebセキュリティを無効にしたくなかったので（開発中に閲覧していたため）、このChrome拡張機能を見つけました。

ChromeウェブストアAllow-Control-Allow-Origin：*
（https://chrome.google.com/webstore/detail/allow-control-allow-origi/nlfbmbojpeacfghkpbjhddihlkkiljbi?hl=en）

基本的には、Allow-Access-Origin-Controlチェックのオンとオフを切り替える小さなトグルスイッチです。私がやっていることのために私のために完全に動作します。

上記の解決策のいずれも実際には機能していないようです。--disable-ウェブセキュリティはもはや最近のクロームバージョンではサポートされていません。

Allow-Control-Allow-Origin：*-クロム拡張により、問題が部分的に解決されました。リクエストがGETメソッドを使用していて、カスタムHTTPヘッダーがない場合にのみ機能します。それ以外の場合、ChromeはOPTIONS HTTPリクエストをプリフライトリクエストとして送信します。サーバーがCORSをサポートしていない場合、サーバーは404 HTTPステータスコードで応答します。プラグインは、応答HTTPステータスコードを変更できません。したがって、Chromeはこのリクエストを拒否します。現在のChrome拡張APIに基づいて、Chromeプラグインが応答HTTPステータスコードを変更する方法はありません。また、XHRが開始したリクエストに対してもリダイレクトを行うことはできません。

Chromeが開発者の生活をそれほど難しくしている理由がわかりません。XSSセキュリティチェックを無効にするすべての可能な方法をブロックします。これは、完全に不要な開発用途でも使用できます。

数日の苦労と研究の後、1つの解決策は私にとって完璧に機能します。corsproxyを使用することです。ここには2つのオプションがあります。1. [ https://cors-anywhere.herokuapp.com/]を使用します 。2.ローカルボックスにcorsproxyをインストールします。npm install -g corsproxy

[2018年6月23日更新]最近、 corsproxyを再度使用する必要があるSPAアプリを開発しています。しかし、githubのcorsproxyはどれも私の要件を満たすことができないようです。

• セキュリティ上の理由から、ファイアウォールの内側で実行する必要があります。そのため、https：//cors-anywhere.herokuapp.com/を使用できません。
• chromeはhttpsページでno-https ajaxリクエストをブロックするため、httpsをサポートする必要があります。
• nodejsで実行する必要があります。別の言語スタックを維持したくありません。

そこで、nodejsを使用して独自のバージョンのcorsproxyを開発することにしました。それは実際には非常に簡単です。私はそれをgithubの要旨として公開しました。ソースコードの要点は次のとおりです。https： //gist.github.com/jianwu/8e76eaec95d9b1300c59596fbfc21b10

• 追加の依存関係のないプレーンなnodejsコードです
• コマンドラインでhttpsポート番号を渡すことにより、httpおよびhttpsモードで実行できます。httpsを実行するには、証明書とキーを生成し、それらをwebrootディレクトリに配置する必要があります。
• 静的ファイルサーバーとしても機能します
• プリフライトOPTIONリクエストもサポートしています。

CORSProxyサーバー（httpポート8080）を起動するには：node static_server.js 8080

プロキシにアクセスするには： http：// host：8080 / http：//www.somesite.com

Windowsの場合...デスクトップにChromeショートカットを作成します。
右クリック>プロパティ>ショートカット
「ターゲット」パスを編集：

"C:\Program Files\Google\Chrome\Application\chrome.exe" --args --disable-web-security

（「C：.... \ chrome.exe」をChromeが配置されている場所に変更します）。

etvoilà:)

Mac端末でこのコマンドを試してください-

open -n -a "Google Chrome" --args --user-data-dir=/tmp/temp_chrome_user_data_dir http://localhost:8100/ --disable-web-security 

セキュリティを無効にしてChromeの別のインスタンスを開き、CORSの問題はもうありません。また、他のChromeインスタンスを閉じる必要はもうありません。localhostのURLを自分のものに変更します。

これを行う最善の方法は、WindowsデスクトップにChromeまたはChrome Canaryのショートカットを複製することです。このショートカットの名前を「NO CORS」に変更してから、そのショートカットのプロパティを編集します。

ターゲット--disable-web-security --user-data-dir="D:/Chrome"で、ターゲットパスの末尾に追加します。

ターゲットは次のようになります。

更新：新しいフラグが追加されました。

"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --disable-web-security --user-data-dir="D:/Chrome"

現在の最新のクロムバージョン（83.0.4103.61（公式ビルド）（64ビット））を使用して、私のテストでそれを機能させる唯一の方法は、以下のフラグを使用してクロムを起動することでした（D：\ tempをお好みに変更してください） 。このソリューションは、テストのサンドボックスとしてChromeを起動し、メインのChromeプロファイルには影響しません。

--disable-site-isolation-trials --disable-web-security --user-data-dir = "D：\ temp"

Windowsでは、スタートボタンをクリックし、以下をコピーして貼り付けます。

chrome.exe  --disable-site-isolation-trials --disable-web-security --user-data-dir="D:\temp"

"Allow-Control-Allow-Origin：*"と呼ばれるこのchromeプラグインを使用できます...それはそれを完全にシンプルにして非常にうまく機能させます。 ここで確認してください：*

Selenium Webdriverの場合、この場合、適切な引数（または「スイッチ」）を使用してSeleniumにChromeを起動させることができます。

 @driver = Selenium::WebDriver.for(:Chrome, { 
       :detach => false,
       :switches => ["--disable-web-security"]
    })

LinuxでGoogle Chromeを使用している場合、次のコマンドが機能します。

google-chrome  --disable-web-security

このChromeプラグインは私にとっては機能します： Allow-Control-Allow-Origin：*-Chromeウェブストア

これを行わないでください！ あなたは攻撃のためにあなたのアカウントを開いています。これを実行すると、サードパーティのサイトは、他のWebサイト、ログインしているサイトへのリクエストの発行を開始できます。

代わりに、ローカルサーバーを実行します。シェル/ターミナル/コマンドラインを開いて入力するのと同じくらい簡単です

cd path/to/files
python -m SimpleHTTPServer

次に、ブラウザで

http://localhost:8000

遅すぎる場合は、この解決策を検討してください

更新

この回答に反対票を投じる人は、ここに行き、一貫性を保つためにこれにも反対投票する必要があります。なぜ私の回答がそれほど投票されておらず、ここで同じ回答が一番投票された回答であるかはわかりません。

あなたは攻撃への扉を開いています。npmなどのリモートまたはローカルでサイトに含めるすべてのサードパーティスクリプトは、データをアップロードしたり、資格情報を盗んだりできます。あなたはあなたがする必要のない何かをしています。提案された解決策は難しくはなく、30秒かかり、攻撃を未然に防ぎません。何をするほうが簡単なのに、なぜ自分を脆弱にするのを選ぶのですか？

セキュリティを無効にするように人々に伝えることは、玄関のドアのロックを解除したり、玄関のドアの下に鍵を置いたりするように友人に伝えるのと同じです。確かにオッズは低いかもしれませんが、もし侵入された場合、強制入国の証拠がなければ、保険の回収に苦労するかもしれません。同様に、セキュリティを無効にすると、セキュリティを無効にしたことになり ます。セキュリティを無効にすることなく問題を簡単に解決できる場合、これを行うのは無責任です。セキュリティを無効にしたことで一部の企業を解雇できなかったとしたら、私は驚くでしょう。

あなたは単にこのクロム拡張を使用できますAllow-Control-Allow-Origin

拡張機能のアイコンをクリックするだけで、必要に応じてリソース間の共有を有効または無効にできます

MACユーザーのみ

open -n -a /Applications/Google\ Chrome.app --args --user-data-dir="/tmp/someFolderName" --disable-web-security

chromium-browser --disable-web-security --user-data-dir=~/ChromeUserData/

Windows 10では、以下が機能します。

<<path>>\chrome.exe --allow-file-access-from-files --allow-file-access --allow-cross-origin-auth-prompt

Ola Karlssonの回答に続いて、実際に最善の方法は、安全でないChromeを別のセッションで開くことです。これにより、現在開いているすべてのタブを閉じることを心配する必要がなく、元のChromeセッションで引き続き安全にウェブを閲覧できます。

これらのバッチファイルは、Windows上で動作するはずです。

簡単に使用できるようにChrome_CORS.batファイルに入れます

start "" "c:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --user-data-dir="c:/_chrome_dev" --disable-web-security

これはChrome Canary用です。Canary_CORS.bat

start "" "c:\Users\%USERNAME%\AppData\Local\Google\Chrome SxS\Application\chrome.exe" --user-data-dir="c:/_canary_dev" --disable-web-security

Linux- Ubuntuでは、通常のセッションと安全でないセッションを同時に実行するには、次のコマンドを実行します。

google-chrome  --user-data-dir=/tmp --disable-web-security

Macユーザーの場合：

open -a "Google Chrome" --args --disable-web-security --user-data-dir

Chrome 48以前は、次のように使用できました。

open -a "Google Chrome" --args --disable-web-security

CORS Toggleと呼ばれるChrome拡張機能があります。

ここをクリックしてアクセスし、Chromeに追加してください。

追加した後、オンの位置に切り替えて、クロスドメインリクエストを許可します。

OSXの場合、ターミナルから次のコマンドを実行します。

open -na Google\ Chrome --args --disable-web-security --user-data-dir=$HOME/profile-folder-name

これにより、Google Chromeの新しいインスタンスが開始され、警告が表示されます。

これは絶えず動くターゲットです...今日、私はそれを機能させるために別のフラグを追加する必要がありました： --disable-site-isolation-trials

OS X： open /Applications/Google\ Chrome.app --args --user-data-dir="/var/tmp/Chrome_dev_2" --disable-web-security --disable-site-isolation-trials

Windowsの場合：

（Windows 8.1、Chrome 44.0を使用）

まず、Google Chromeを閉じます。

次に、コマンドプロンプトを開き、「chrome.exe」があるフォルダーに移動します。

( for me: 'chrome.exe' is here "C:\Program Files (x86)\Google\Chrome\Application".

Iタイプので： cd C:\Program Files (x86)\Google\Chrome\Application）

今タイプ： chrome.exe --disable-web-security

クロムの新しいウィンドウが開きます。

Ubuntuで以下のコマンドを使用してChromeを起動します（同じ生成元ポリシーを無効にし、分離モードでChromeを開きます）：

nohup google-chrome --disable-web-security --user-data-dir='/tmp' &

Windowsの場合：

1）新しいショートカットを作成します。

2）次のパスを貼り付けます。

"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" "C:\Program Files\Google\Chrome\Application\chrome.exe" --disable-web-security --user-data-dir="c:\temp\chrome"

3）次のページで次のように入力します。

Unsafe Chrome.exe

これで、CORSアプリケーションのデバッグに使用する安全でないクロムがデスクトップにあります。このグラフィカルな回答が一部の人々に役立つことを願っています！

このページにアクセスして、Webサイトドメインのドメインセキュリティポリシーを無効にしてみてください。

chrome://net-internals/#hsts