2026-06-10 0
火狐开发者版默认启用多项DOM安全限制导致本地开发异常,需在about:config中检查security.csp.enable、dom.security.https_only_mode等配置项,仅对明确不需要的true项设为false,并清理Service Worker、网站数据及CSP缓存。
火狐浏览器开发者版(Firefox Developer Edition)在启动时会默认启用一系列实验性DOM安全限制功能,例如严格的内容安全策略(CSP)报错模式、跨域资源加载拦截增强、document.domain强制隔离等,这些机制常导致本地开发服务器(如Vite、Webpack Dev Server)、iframe调试、跨域API联调或旧版前端框架运行异常——页面白屏、控制台大量SecurityError报错、fetch被静默拒绝,而切换到稳定版则一切正常。
这一步必须先做,避免误关关键防护。开发者版的DOM安全限制并非单一开关,而是分散在about:config中多个以security.和dom.security.开头的布尔型首选项,部分在新版本中默认为true但未在UI中暴露。
在地址栏输入about:config并回车→点击“I'll be careful, I promise”→在搜索框依次输入以下关键词,逐个检查其值是否为true:security.csp.enable、dom.security.legacy_tls_insecure_fallback、dom.security.https_only_mode、dom.security.https_only_mode_ever_enabled、security.mixed_content.block_active_content。
【只对值为true且你明确不需要的项目执行后续关闭操作;误关security.csp.enable可能使网页完全无法加载脚本】
以下三项是导致本地开发中断最频繁的实验性DOM安全限制,需逐一设为false。修改后无需重启即可生效,但已加载的页面需刷新。
方法一:禁用HTTPS-only强制模式
在about:config中搜索dom.security.https_only_mode→双击将其值由true改为false。
该选项一旦启用,会将所有http://请求自动升级为https://并拦截失败连接,对localhost:3000、127.0.0.1:8080等本地服务直接造成请求中断。
方法二:关闭混合内容主动拦截
搜索security.mixed_content.block_active_content→双击设为false。
此设置会阻止HTTP资源在HTTPS页面中执行(如