¿Hay alguna forma de desactivar la política del mismo origen en el navegador Chrome de Google ?

Cierre el cromo (o cromo) y reinicie con el --disable-web-securityargumento. Acabo de probar esto y verifiqué que puedo acceder al contenido de un iframe con src = "http://google.com" incrustado en una página servida desde "localhost" (probado bajo chromium 5 / ubuntu). Para mí el comando exacto fue:

Nota: elimine todas las instancias de Chrome antes de ejecutar el comando

chromium-browser --disable-web-security --user-data-dir="[some directory here]"

El navegador le advertirá que "está utilizando una línea de comando no compatible" cuando se abre por primera vez, lo que puede ignorar.

De la fuente de cromo:

// Don't enforce the same-origin policy. (Used by people testing their sites.)
const wchar_t kDisableWebSecurity[] = L"disable-web-security";

Antes de Chrome 48, podría usar:

chromium-browser --disable-web-security

Sí. Para OSX, abra Terminal y ejecute:

$ open -a Google\ Chrome --args --disable-web-security --user-data-dir

- se requiere directorio de datos de usuario en Chrome 49+ en OSX

Para ejecutar Linux:

$ google-chrome --disable-web-security

Además, si está intentando acceder a archivos locales para fines de desarrollo como AJAX o JSON, también puede usar este indicador.

-–allow-file-access-from-files

Para Windows, vaya al símbolo del sistema, vaya a la carpeta donde está Chrome.exe y escriba

chrome.exe --disable-web-security

Eso debería deshabilitar la misma política de origen y permitirle acceder a archivos locales.

Actualización: para Chrome 22+ se le presentará un mensaje de error que dice:

Está utilizando un indicador de línea de comandos no compatible: --disable-web-security. La estabilidad y la seguridad sufrirán.

Sin embargo, puede ignorar ese mensaje mientras se desarrolla.

Para usuarios de Windows:

El problema con la solución aceptada aquí, en mi opinión, es que si ya tiene Chrome abierto e intenta ejecutar esto, no funcionará.

Sin embargo, al investigar esto, me encontré con una publicación sobre Superusuario, ¿es posible ejecutar Chrome con y sin seguridad web al mismo tiempo? .

Básicamente, ejecutando el siguiente comando (o creando un acceso directo con él y abriendo Chrome a través de eso)

chrome.exe --user-data-dir="C:/Chrome dev session" --disable-web-security

puedes abrir una nueva instancia "insegura" de Chrome al mismo tiempo que mantienes tus otras instancias de navegador "seguras" abiertas y funcionando normalmente. Importante : elimine / borre la C:/Chrome dev sessioncarpeta cada vez que abra una ventana, ya que la segunda vez --disable-web-securityno funcionará. Por lo tanto, no puede guardar sus cambios y luego abrirlo nuevamente como una segunda instancia insegura de Chrome con --disable-web-security.

Para Windows :

1. Abre el menú de inicio
2. Escriba windows+ Ro abra "Ejecutar"

3. Ejecute el siguiente comando:

   chrome.exe --user-data-dir="C://Chrome dev session" --disable-web-security

Para Mac :

1. Ir a la terminal

2. Ejecute el siguiente comando:

   open /Applications/Google\ Chrome.app --args --user-data-dir="/var/tmp/Chrome dev session" --disable-web-security

Un nuevo navegador web Chrome deshabilitado de seguridad debería abrirse con el siguiente mensaje:

Para usuarios de Windows con Chrome Versiones 60.0.3112.78 (el día que se probó y trabajó la solución) y al menos hasta hoy 19.01.2019 (ver. 71.0.3578.98) . No es necesario cerrar ninguna instancia de Chrome.

1. Crea un acceso directo en tu escritorio
2. Haga clic derecho en el acceso directo y haga clic en Propiedades
3. Editar la propiedad de destino
4. Configúrelo en "C: \ Archivos de programa (x86) \ Google \ Chrome \ Application \ chrome.exe" --disable-web-security --user-data-dir = "C: / ChromeDevSession"
5. Inicie Chrome e ignore el mensaje que dice: ¡Deshabilitar seguridad web no es compatible!

¡CUIDADO DE NO USAR ESTA INSTANCIA DE NAVEGADOR EN PARTICULAR PARA NAVEGAR PORQUE PUEDE SER HACKEADO CON ELLA!

EDITAR 3: Parece que la extensión ya no existe ... Normalmente, para evitar CORS en estos días configuré otra versión de Chrome con un directorio separado o uso Firefox con https://addons.mozilla.org/en-US/ firefox / addon / cors-everywhere / en su lugar.

EDIT 2: ya no puedo hacer que esto funcione de manera consistente.

EDITAR: intenté usar el otro día para otro proyecto y dejó de funcionar. Desinstalar y reinstalar la extensión lo arregló (para restablecer los valores predeterminados).

Respuesta original

No quería reiniciar Chrome y deshabilitar mi seguridad web (porque estaba navegando mientras desarrollaba) y me topé con esta extensión de Chrome.

Chrome Web Store Allow-Control-Allow-Origin: *
(https://chrome.google.com/webstore/detail/allow-control-allow-origi/nlfbmbojpeacfghkpbjhddihlkkiljbi?hl=en)

Básicamente es un pequeño interruptor para activar y desactivar la verificación Permitir-Acceso-Origen-Control. Funciona perfectamente para mí por lo que estoy haciendo.

Parece que ninguna de las soluciones anteriores está funcionando realmente. El --disable-web-seguridad ya no se admite en las versiones recientes de cromo.

Allow-Control-Allow-Origin: * - la extensión de Chrome resolvió parcialmente el problema. Funciona solo si su solicitud está utilizando el método GET y no hay un encabezado HTTP personalizado. De lo contrario, Chrome enviará la solicitud HTTP OPTIONS como una solicitud previa al vuelo. Si el servidor no admite CORS, responderá con un código de estado HTTP 404. El complemento no puede modificar el código de estado HTTP de respuesta. Entonces Chrome rechazará esta solicitud. No hay forma de que el complemento de Chrome modifique el código de estado HTTP de respuesta basado en la API de extensión de Chrome actual. Y tampoco puede hacer una redirección para la solicitud iniciada por XHR.

No estoy seguro de por qué Chrome hace la vida de los desarrolladores tan difícil. Bloquea todas las formas posibles de deshabilitar la comprobación de seguridad XSS, incluso para el uso de desarrollo, que es totalmente innecesario.

Después de días de lucha e investigación, una solución funciona perfectamente para mí: usar corsproxy . Tiene dos opciones aquí: 1. usar [ https://cors-anywhere.herokuapp.com/] 2. instalar corsproxy en el cuadro local: npm install -g corsproxy

[Actualizado el 23 de junio de 2018] Reciente estoy desarrollando una aplicación SPA que necesita usar corsproxy nuevamente. Pero parece que ninguno de los corsproxy en el github puede cumplir con mis requisitos.

• Necesito que se ejecute dentro del firewall por razones de seguridad. Entonces no puedo usar https://cors-anywhere.herokuapp.com/ .
• Tiene que admitir https ya que Chrome bloqueará la solicitud ajax no https en una página https.
• Necesito ejecutar en nodejs. No quiero mantener otra pila de idiomas.

Entonces decido desarrollar mi propia versión de corsproxy con nodejs. En realidad es muy simple. Lo he publicado como una esencia en el github. Aquí está el código fuente: https://gist.github.com/jianwu/8e76eaec95d9b1300c59596fbfc21b10

• Está en código de nodejs sin dependencias adicionales
• Puede ejecutar en modo http y https (pasando el número de puerto https en la línea de comando), para ejecutar https, debe generar cert y key y ponerlos en el directorio webroot.
• También sirve como servidor de archivos estático
• También es compatible con la solicitud de OPCIÓN previa al vuelo.

Para iniciar el servidor CORSProxy (puerto http 8080): nodo static_server.js 8080

para acceder al proxy: http: // host: 8080 / http: //www.somesite.com

Para Windows ... cree un acceso directo de Chrome en su escritorio.
Haga clic con el botón derecho> propiedades> Acceso directo
Editar ruta "objetivo":

"C:\Program Files\Google\Chrome\Application\chrome.exe" --args --disable-web-security

(Cambie 'C: .... \ chrome.exe' a donde se encuentre su Chrome).

et voilà :)

Pruebe este comando en la terminal Mac

open -n -a "Google Chrome" --args --user-data-dir=/tmp/temp_chrome_user_data_dir http://localhost:8100/ --disable-web-security 

Abre otra instancia de Chrome con seguridad deshabilitada y ya no hay problema CORS. Además, ya no necesita cerrar otras instancias de Chrome. Cambie la URL localhost por la suya.

Creo que la mejor manera de hacerlo es duplicar un acceso directo de Chrome o Chrome Canary en el escritorio de Windows. Cambie el nombre de este acceso directo a "NO CORS" y luego edite las propiedades de ese acceso directo.

en el objetivo, agregue --disable-web-security --user-data-dir="D:/Chrome"al final de la ruta de destino.

su objetivo debería verse más o menos así:

Actualización: se agregaron nuevas banderas.

"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --disable-web-security --user-data-dir="D:/Chrome"

usando la última versión actual de Chrome (83.0.4103.61 (versión oficial) (64 bits)), la única forma de hacerlo funcionar en mi prueba era iniciar Chrome usando los siguientes indicadores (cambie el D: \ temp a su gusto) . Esta solución iniciará Chrome como caja de arena para las pruebas y no afectará el perfil principal de Chrome:

--disable-site-aislamiento-ensayos --disable-web-security --user-data-dir = "D: \ temp"

en windows, haga clic en el botón de inicio y luego copie y pegue lo siguiente:

chrome.exe  --disable-site-isolation-trials --disable-web-security --user-data-dir="D:\temp"

Puede usar este complemento de Chrome llamado "Allow-Control-Allow-Origin: *" ... Lo hace muy simple y funciona muy bien. compruébalo aquí: *

Para Selenium Webdriver, puede hacer que Selenium inicie Chrome con los argumentos apropiados (o "interruptores") en este caso.

 @driver = Selenium::WebDriver.for(:Chrome, { 
       :detach => false,
       :switches => ["--disable-web-security"]
    })

Si está utilizando Google Chrome en Linux, el siguiente comando funciona.

google-chrome  --disable-web-security

Este complemento de Chrome funciona para mí: Allow-Control-Allow-Origin: * - Chrome Web Store

¡No hagas esto! Estás abriendo tus cuentas a los ataques . Una vez que haga esto, cualquier sitio de terceros puede comenzar a emitir solicitudes a otros sitios web, sitios en los que ha iniciado sesión.

En su lugar, ejecute un servidor local. Es tan fácil como abrir un shell / terminal / línea de comando y escribir

cd path/to/files
python -m SimpleHTTPServer

Luego apunte su navegador a

http://localhost:8000

Si encuentra que es demasiado lento, considere esta solución

Actualizar

Las personas que voten negativamente por esta respuesta deberían ir aquí y también por esta para ser coherentes. No tengo idea de por qué mi respuesta es tan negativa y la misma respuesta aquí es la respuesta más votada.

Te estás abriendo a los ataques. Cada secuencia de comandos de terceros que incluya en su sitio de forma remota o local como npm ahora puede cargar sus datos o robar sus credenciales. Estás haciendo algo que no tienes que hacer. La solución sugerida no es difícil, toma 30 segundos, no te deja un ataque abierto. ¿Por qué elegirías hacerte vulnerable cuando lo mejor que puedes hacer es tan simple?

Decirles a las personas que desactiven la seguridad es como decirles a sus amigos que dejen la puerta de su casa sin llave y / o una llave debajo del tapete. Claro que las probabilidades pueden ser bajas, pero si se roban, sin prueba de entrada forzada, podrían tener dificultades para cobrar un seguro. Del mismo modo, si deshabilita la seguridad , solo está deshabilitando la seguridad . Es irresponsable hacer esto cuando puede resolver el problema de manera tan simple sin desactivar la seguridad. Me sorprendería que no pudieras ser despedido de algunas empresas por deshabilitar la seguridad.

Simplemente puede usar esta extensión de Chrome Allow-Control-Allow-Origin

simplemente haga clic en el icono de la extensión para activar o desactivar el intercambio de recursos cruzados como desee

SOLO PARA USUARIOS DE MAC

open -n -a /Applications/Google\ Chrome.app --args --user-data-dir="/tmp/someFolderName" --disable-web-security

chromium-browser --disable-web-security --user-data-dir=~/ChromeUserData/

En Windows 10, lo siguiente funcionará.

<<path>>\chrome.exe --allow-file-access-from-files --allow-file-access --allow-cross-origin-auth-prompt

Siguiendo la respuesta de Ola Karlsson, de hecho, la mejor manera sería abrir el Chrome inseguro en una sesión diferente. De esta manera, no necesita preocuparse por cerrar todas las pestañas abiertas actualmente, y también puede continuar navegando por la web de forma segura con la sesión original de Chrome.

Estos archivos por lotes deberían funcionar para usted en Windows.

Póngalo en un archivo Chrome_CORS.bat para un uso fácil

start "" "c:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --user-data-dir="c:/_chrome_dev" --disable-web-security

Este es para Chrome Canary . Canary_CORS.bat

start "" "c:\Users\%USERNAME%\AppData\Local\Google\Chrome SxS\Application\chrome.exe" --user-data-dir="c:/_canary_dev" --disable-web-security

En Linux- Ubuntu, para ejecutar simultáneamente una sesión normal y una sesión insegura, ejecute el siguiente comando:

google-chrome  --user-data-dir=/tmp --disable-web-security

para usuarios de mac:

open -a "Google Chrome" --args --disable-web-security --user-data-dir

y antes de Chrome 48, podría usar:

open -a "Google Chrome" --args --disable-web-security

Hay una extensión de Chrome llamada CORS Toggle.

Haga clic aquí para acceder y agregarlo a Chrome .

Después de agregarlo, alterne a la posición de encendido para permitir solicitudes de dominio cruzado.

Para OSX, ejecute el siguiente comando desde la terminal:

open -na Google\ Chrome --args --disable-web-security --user-data-dir=$HOME/profile-folder-name

Esto iniciará una nueva instancia de Google Chrome con una advertencia en la parte superior.

este es un objetivo siempre en movimiento ... hoy necesitaba agregar otra bandera para que funcione: --disable-site-isolation-trials

OS X: open /Applications/Google\ Chrome.app --args --user-data-dir="/var/tmp/Chrome_dev_2" --disable-web-security --disable-site-isolation-trials

Para ventanas:

(usando Windows 8.1, Chrome 44.0 )

Primero, cierra google chrome.

Luego, abra el símbolo del sistema y vaya a la carpeta donde está 'chrome.exe'.

( for me: 'chrome.exe' is here "C:\Program Files (x86)\Google\Chrome\Application".

Entonces escribo: cd C:\Program Files (x86)\Google\Chrome\Application )

ahora escribe: chrome.exe --disable-web-security

se abrirá una nueva ventana de cromo.

Se usa el siguiente comando en Ubuntu para iniciar Chrome (deshabilitar la misma política de origen y abrir Chrome en modo separado):

nohup google-chrome --disable-web-security --user-data-dir='/tmp' &

En Windows:

1) Crear un nuevo acceso directo:

2) Pegue la siguiente ruta:

"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" "C:\Program Files\Google\Chrome\Application\chrome.exe" --disable-web-security --user-data-dir="c:\temp\chrome"

3) En la página siguiente escriba:

Unsafe Chrome.exe

Ahora tiene un Chrome inseguro en el escritorio para usar para depurar aplicaciones CORS. ¡Espero que esta respuesta gráfica ayude a algunas personas!

Intente ir a esta página y deshabilite la política de seguridad de dominio para el dominio de su sitio web.

chrome://net-internals/#hsts