在 Chrome 中禁用同源策略

Question

有什么方法可以在 Google 的 Chrome 浏览器上禁用 Same-origin policy？

Answer 1

对于 OSX，从终端运行以下命令：

open -na Google\ Chrome --args --disable-web-security --user-data-dir=$HOME/profile-folder-name

这将启动一个新的 Google Chrome 实例，并在顶部显示警告。

注意：如果您使用 --user-data-dir，则 chrome 会与您的用户数据文件夹断开连接（并从您的所有站点中注销）——即使您在没有任何参数的情况下再次运行它。要回滚这个，您需要以上述方式打开但没有该参数。

Answer 2

使用当前最新的 chrome **Version 96.0.4664.45 (Official Build) (64-bit) **

windows : 点击开始按钮，然后复制粘贴下面的内容（根据自己的喜好更改 D:\temp）。：

chrome.exe  --disable-site-isolation-trials --disable-web-security --user-data-dir="D:\temp"

Linux : 启动终端，然后运行以下命令（根据自己的喜好更改 ~/tmp 目录）

google-chrome --disable-site-isolation-trials --disable-web-security --user-data-dir="~/tmp"

注意：此解决方案将在隔离的沙箱中启动 chrome，不会影响主 chrome 配置文件。

Answer 3

是的。对于 OSX，打开终端并运行：

$ open -a Google\ Chrome --args --disable-web-security --user-data-dir

--user-data-dir required on Chrome 49+ on OSX

对于 Linux 运行：

$ google-chrome --disable-web-security

此外，如果您尝试访问本地文件以用于 AJAX 或 JSON 等开发目的，您也可以使用此标志。

--allow-file-access-from-files

对于 Windows，进入命令提示符并进入 Chrome.exe 所在的文件夹并键入

chrome.exe --disable-web-security

这应该禁用同源策略并允许您访问本地文件。

更新：对于 Chrome 22+，您将看到一条错误消息：

您正在使用不受支持的命令行标志：--disable-web-security。稳定性和安全性将受到影响。

但是，您可以在开发时忽略该消息。

Answer 4

对于 Windows 用户：

在我看来，这里接受的解决方案的问题是，如果您已经打开 Chrome 并尝试运行 chrome.exe --disable-web-security 命令，它将无法正常工作。

但是，在研究这个问题时，我发现了一个关于超级用户的帖子，Is it possible to run Chrome with and without web security at the same time?。

基本上，您需要添加到命令并像这样运行它（或使用它创建一个快捷方式并通过它运行一个新的 Chrome 实例）

chrome.exe --user-data-dir="C:/Chrome dev session" --disable-web-security

这将在您保持其他“安全”浏览器实例打开并正常工作的同时打开一个新的“不安全”Chrome 实例。

这通过在 C: 下创建一个新的文件夹/目录“Chrome 开发会话”来工作，并告诉这个新的 Chrome 实例将该文件夹/目录用于其用户和会话数据。因此，新实例与您的“正常”Chrome 数据分离，您的书签和其他保存的数据将在此实例中不可用。

注意：仅使用此方法打开的第一个“新”Chrome 实例会受到影响，因此只有第一个新 Chrome 窗口中的第一个选项卡会受到影响。 如果您关闭该实例，您可以再次使用相同的命令，例如，本地应用程序或类似应用程序的任何书签仍会存在，因为它指向同一个文件夹。

如果您想运行多个“不安全”实例，每个实例都需要自己的文件夹/目录，因此您需要使用不同的文件夹名称再次运行该命令。然而，这也意味着每个不安全的实例都将与其他实例分开，因此任何书签或其他保存用户或会话数据将无法跨实例使用。

Answer 5

禁用此标志是 chrome - chrome://flags/#reduced-referrer-granularity 它应该工作

Answer 6

不要这样做！ You're opening your accounts to attacks。执行此操作后，任何第 3 方网站都可以开始向其他网站（即您登录的网站）发出请求。

改为运行本地服务器。就像打开 shell/终端/命令行并输入一样简单

cd path/to/files
python -m SimpleHTTPServer

然后将浏览器指向

http://localhost:8000

如果你觉得太慢了consider this solution

更新

不赞成这个答案的人应该去这里和downvote this one too 保持一致。不知道为什么我的答案被如此低估，而与here 相同的答案是票数最高的答案。

您正在让自己受到攻击。您通过 npm 远程或本地包含在您的站点上的每个第三方脚本现在都可以上传您的数据或窃取您的凭据。你正在做一些你不需要做的事情。建议的解决方案并不难，需要 30 秒，不会让你打开攻击。当更好的事情如此简单时，你为什么要选择让自己变得脆弱？

告诉人们禁用安全功能就像告诉你的朋友让他们的前门没有上锁和/或在门垫下面放一把钥匙。当然几率可能很低，但如果他们真的被盗，没有强行进入的证据，他们可能很难获得保险。同样，如果您禁用安全性，您只是在执行禁用 安全性。当您可以在不禁用安全性的情况下如此简单地解决问题时，这样做是不负责任的。如果您不能因为某些公司禁用安全性而被解雇，我会感到惊讶。

Answer 7

1. 创建一个新的快捷方式：

---

1. 粘贴以下路径：

"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" "C:\Program Files\Google\Chrome\Application\chrome.exe" --disable-web-security --user-data-dir="c:\temp\chrome"

---

1. 命名：

Unsafe Chrome.exe

---

现在您在桌面上拥有了一个不安全的 Google Chrome 版本，可以使用它来调试前端应用程序，而不会出现任何 CORS 问题。

Answer 8

对于Windows：

1. 打开开始菜单

2. 键入 windows+R 或打开“运行”

3. 执行以下命令：

    chrome.exe --user-data-dir="C://Chrome dev session" --disable-web-security
   

---

对于 Mac：

1. 前往终端

2. 执行以下命令：

    open /Applications/Google\ Chrome.app --args --user-data-dir="/var/tmp/Chrome dev session" --disable-web-security
   

---

一个新的禁用网络安全的 chrome 浏览器应该打开并显示以下消息：

对于 Mac

如果您想在不关闭现有选项卡的情况下打开禁用网络安全的 Chrome 浏览器的新实例，请使用以下命令

open -na Google\ Chrome --args --user-data-dir=/tmp/temporary-chrome-profile-dir --disable-web-security

它将打开禁用网络安全的 Chrome 浏览器的新实例，如下所示

Answer 9

在 Ubuntu 中使用以下命令启动 chrome（禁用同源策略并以分离模式打开 chrome）：

nohup google-chrome --disable-web-security --user-data-dir='/tmp' &

Answer 10

你可以简单地使用这个 chrome 扩展 Allow-Control-Allow-Origin

只需单击扩展的图标即可根据需要打开或关闭跨资源共享

Answer 11

编辑 3：似乎扩展程序不再存在...... 这些天通常为了绕过 CORS，我 set up another version of Chrome with a separate directory 或者我使用带有 https://addons.mozilla.org/en-US/firefox/addon/cors-everywhere/ 的 Firefox。

编辑 2：我不能再让它始终如一地工作。

编辑：前几天我尝试将另一天用于另一个项目，但它停止了工作。卸载并重新安装扩展程序修复了它（重置默认值）。

原答案：

我不想重新启动 Chrome 并禁用我的网络安全（因为我在开发时正在浏览）并偶然发现了这个 Chrome 扩展程序。

Chrome Web Store Allow-Control-Allow-Origin: *
(https://chrome.google.com/webstore/detail/allow-control-allow-origi/nlfbmbojpeacfghkpbjhddihlkkiljbi?hl=en)

基本上，它是一个用于打开和关闭 Allow-Access-Origin-Control 检查的小拨动开关。非常适合我正在做的事情。

Answer 12

Chrome 的 Allow-Control-Allow-Origin 插件不起作用。这是针对 MacOS 的

我将 alias chrome='open -n -a /Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome --args --user-data-dir --disable-web-security' 作为别名添加到我的 .profile 中。

其他命令将禁用我的其他扩展，这将在禁用 cors 的情况下启动您的普通 chrome

Answer 13

尝试转到此页面并为您的网站域禁用域安全策略。

chrome://net-internals/#hsts

Answer 14

似乎上述解决方案都没有真正起作用。最近的 chrome 版本不再支持 --disable-web-security。

Allow-Control-Allow-Origin: * - chrome 扩展部分解决了这个问题。它仅在您的请求使用 GET 方法并且没有自定义 HTTP 标头时才有效。否则，chrome 会将 OPTIONS HTTP 请求作为飞行前请求发送。如果服务器不支持 CORS，它将返回 404 HTTP 状态码。插件无法修改响应 HTTP 状态码。所以chrome会拒绝这个请求。 chrome 插件无法根据当前的 chrome 扩展 API 修改响应 HTTP 状态代码。你也不能对 XHR 发起的请求进行重定向。

不知道为什么 Chrome 让开发者的生活变得如此艰难。它阻止了所有可能禁用 XSS 安全检查的方法，即使是完全没有必要的开发用途。

经过几天的努力和研究，一个解决方案对我来说非常有效：使用 corsproxy。您在这里有两个选择： 1.使用[https://cors-anywhere.herokuapp.com/] 2.在本地安装corsproxy：npm install -g corsproxy

[2018 年 6 月 23 日更新] 最近我正在开发一个需要再次使用 corsproxy 的 SPA 应用程序。但是似乎github上的corsproxy都不能满足我的要求。

• 出于安全原因需要它在防火墙内运行。所以我不能使用https://cors-anywhere.herokuapp.com/。
• 它必须支持 https，因为 chrome 会阻止 https 页面中的非 https ajax 请求。
• 我需要在 nodejs 上运行。我不想维护另一个语言堆栈。

所以我决定用 nodejs 开发我自己的 corsproxy 版本。其实很简单。我已将其作为要点发布在 github 上。以下是源代码要点： https://gist.github.com/jianwu/8e76eaec95d9b1300c59596fbfc21b10

• 它是纯 nodejs 代码，没有任何额外的依赖项
• 您可以在http和https模式下运行（通过传递https端口 命令行中的数字），要运行 https，您需要生成证书和 密钥并将它们放在 webroot 目录中。
• 它也可以作为静态文件服务器
• 它也支持飞行前的 OPTION 请求。

启动 CORSProxy 服务器（http 端口 8080）： 节点 static_server.js 8080

访问代理： http://host:8080/http://www.somesite.com

Answer 15

windows 用户使用 Chrome 版本 60.0.3112.78（解决方案经过测试和工作的那一天），至少到今天 19.01.2019（版本 71.0.3578.98）。您不需要关闭任何 chrome 实例。

1. 在桌面上创建快捷方式
2. 右键单击快捷方式，然后单击属性
3. 编辑目标属性
4. 将其设置为 "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --disable-web-security --user-data-dir="C:/ChromeDevSession"
5. 启动 chrome 并忽略不支持 --disable-web-security 的消息！

请注意不要使用此特定浏览器实例进行浏览，因为您可能会被黑客入侵！

Answer 16

这是一个不断变化的目标......今天我需要添加另一个标志来让它工作： --disable-site-isolation-trials

操作系统： open /Applications/Google\ Chrome.app --args --user-data-dir="/var/tmp/Chrome_dev_2" --disable-web-security --disable-site-isolation-trials

Answer 17

在 Linux-Ubuntu 上，要同时运行正常会话和不安全会话，请运行以下命令：

google-chrome  --user-data-dir=/tmp --disable-web-security

Answer 18

关闭 chrome（或 chromium）并使用 --disable-web-security 参数重新启动。我刚刚对此进行了测试并验证了我可以访问嵌入在“localhost”提供的页面中的 src="http://google.com" 的 iframe 的内容（在 chromium 5 / ubuntu 下测试）。对我来说，确切的命令是：

注意：在运行命令之前杀死所有 chrome 实例

chromium-browser --disable-web-security --user-data-dir="[some directory here]"

浏览器第一次打开时会警告你“你正在使用不支持的命令行”，你可以忽略。

来自铬源：

// Don't enforce the same-origin policy. (Used by people testing their sites.)
const wchar_t kDisableWebSecurity[] = L"disable-web-security";

---

在 Chrome 48 之前，您可以使用：

chromium-browser --disable-web-security

Answer 19

在 Mac 终端上试试这个命令-

open -n -a "Google Chrome" --args --user-data-dir=/tmp/temp_chrome_user_data_dir http://localhost:8100/ --disable-web-security 

它会打开另一个禁用安全性的 chrome 实例，并且不再存在 CORS 问题。此外，您不再需要关闭其他 chrome 实例。将 localhost URL 更改为您的 URL。

Answer 20

对于 Windows...在您的桌面上创建一个 Chrome 快捷方式。
右键单击 > 属性 > 快捷方式
编辑“目标”路径：

"C:\Program Files\Google\Chrome\Application\chrome.exe" --args --disable-web-security

（将“C:....\chrome.exe”更改为您的 chrome 所在的位置）。

等等 :)

Answer 21

我有时会使用它，将 localhost 前端站点发布到 localhost 后端 API（例如，对旧的 .NET API 做出反应）。我在我的 Windows 10 桌面上创建了一个单独的快捷方式，因此它永远不会用于正常浏览，仅用于本地调试。我做了以下事情：-

1. 桌面右键，添加新快捷方式
2. 将目标添加为"[PATH_TO_CHROME]\chrome.exe" --disable-web-security
3. 点击确定。

您会在加载此浏览器时收到警告，表明它不安全，请注意您浏览器上的内容。我倾向于在桌面上重命名这个新的快捷方式，大写的东西，并将它从我的其他图标中移开，所以它不会与普通的 Chrome 混淆。

希望这会有所帮助！

Answer 22

仅适用于 MAC 用户

open -n -a /Applications/Google\ Chrome.app --args --user-data-dir="/tmp/someFolderName" --disable-web-security

Answer 23

您可以使用这个名为“Allow-Control-Allow-Origin: *”的 chrome 插件......它让它变得非常简单并且工作得很好。 check it here: *

Answer 24

有一个名为 CORS Toggle 的 Chrome 扩展程序。

Click here to access it and add it to Chrome.

添加后，将其切换到on位置以允许跨域请求。

Answer 25

我发现最好的方法是在 Windows 桌面上复制 Chrome 或 Chrome Canary 快捷方式。将此快捷方式重命名为“NO CORS”，然后编辑该快捷方式的属性。

在目标中将--disable-web-security --user-data-dir="D:/Chrome" 添加到目标路径的末尾。

你的目标应该是这样的：

更新：添加了新标志。

"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --disable-web-security --user-data-dir="D:/Chrome"

Answer 26

Mac 用户：

open -a "Google Chrome" --args --disable-web-security --user-data-dir

在 Chrome 48 之前，您可以使用：

open -a "Google Chrome" --args --disable-web-security

Answer 27

chromium-browser --disable-web-security --user-data-dir=~/ChromeUserData/

Answer 28

按照 Ola Karlsson 的回答，确实最好的方法是在不同的会话中打开不安全的 Chrome。这样您就不必担心关闭所有当前打开的标签页，还可以继续使用原始 Chrome 会话安全地上网。

这些批处理文件应该只适用于 Windows。

把它放在Chrome_CORS.bat file 中方便使用

start "" "c:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --user-data-dir="c:/_chrome_dev" --disable-web-security

这个适用于 Chrome Canary。 Canary_CORS.bat

start "" "c:\Users\%USERNAME%\AppData\Local\Google\Chrome SxS\Application\chrome.exe" --user-data-dir="c:/_canary_dev" --disable-web-security

Answer 29

在 Windows 10 上，以下将起作用。

<<path>>\chrome.exe --allow-file-access-from-files --allow-file-access --allow-cross-origin-auth-prompt

Answer 30

对于 Windows：

（使用 windows 8.1，chrome 44.0）

首先，关闭谷歌浏览器。

然后，打开命令提示符并转到“chrome.exe”所在的文件夹。

( for me: 'chrome.exe' is here "C:\Program Files (x86)\Google\Chrome\Application".

所以我输入： cd C:\Program Files (x86)\Google\Chrome\Application)

现在输入：chrome.exe --disable-web-security

将打开一个新的 chrome 窗口。