在火狐浏览器里禁用同源策略，这事儿可不是一键开关那么简单，得分场景来处理。 如果你只是想在本地双击打开 HTML 文件，用 file:// 协议调试，那就得改 about:config 里的 privacy.file_unique_origin 为 false 并重启。 但如果你调试的是 http:// 或 https:// 下的远程接口，那上面那招根本没用。必须装一个叫 CORS Everywhere 的插件，配好 Access-Control-Allow-Origin:* 再重启浏览器才管用。 很多人以为 F12 开发者工具里能直接关掉同源策略，实际上火狐压根没给这个开关——它只能靠改底层配置或装插件来临时绕过。 说白了，开发者工具本身不提供“禁用同源策略”的开关。要跨域调试，必须走下面两条路。

修改 about:config 配置项（适用于本地 file:// 协议场景）

当你直接用火狐双击打开本地 HTML 文件（比如 file:///D:/project/index.html），想用 XMLHttpRequest 或 fetch 载入同目录下的 JSON、TXT 或 XSL 文件时，大概率会撞上拦截。

原因很简单——Firefox 68 之后，privacy.file_unique_origin 默认为 true。这是默认行为，跟开发者工具无关。需要手动改一下才能打通本地读取。

具体四步走：

• 地址栏输入 about:config → 点“接受风险并继续”。
• 搜索 privacy.file_unique_origin → 双击这一项，把 true 改成 false。
• 再搜 security.fileuri.strict_origin_policy → 如果这一项存在且为 true，同样双击改成 false。注意：部分新版 Firefox 中这个选项已经废弃，只改前面那个就够。
• 关闭所有火狐窗口 → 地址栏输入 about:restartrequired → 点“重启 Firefox”。

重启之后再打开那个本地 HTML 页面，用 XMLHttpRequest 请求同目录下的文件，就会返回 status=200，响应体也能正常读到。

不过要记住：这个设置只对 file:// 加载本地文件有效，对 http/https 远程请求完全不起作用。

安装 CORS Everywhere 插件（适用于 http/https 远程接口调试）

如果你是在本地服务上调试，比如页面跑在 http://localhost:3000，然后向另一个端口的接口（如 http://localhost:8080/api）发请求，这时候 about:config 的修改就完全无效了——得靠插件在响应头上动手脚。

方法一：安装官方认证插件

• 地址栏输入 about:addons → 点右上角齿轮图标 → “在附加组件管理器中浏览” → 搜索 “CORS Everywhere” → 找到作者 “spenibus” 的那个版本（AMO 上 ID：cors-everywhere@spenibus）→ 点击“添加到 Firefox”。

方法二：启用并配置插件

• 装完后，点插件右侧的“选项”按钮 → 勾选 “Enabled at startup” → 在 “Force value of 'access-control-allow-origin'” 输入框里填入 * → 点 “Save”。

注意：必须重启浏览器才能生效，只刷新标签页没用。

重启后，打开开发者工具（F12）→ 切到“网络”面板 → 发起请求，看看响应头里有没有新增 Access-Control-Allow-Origin: *。如果有，就说明插件已经成功替服务器补上了缺失的 CORS 头。

验证是否生效的快速检查法

打开开发者工具（Ctrl+Shift+I）→ 切到“控制台”面板，直接执行这么一行代码：

fetch('./data.json').then(r => r.text()).then(console.log).catch(console.error)

如果控制台输出了 data.json 的内容，说明本地跨域已经通了。

如果还是报 “Cross-Origin Request Blocked”，那就逐一排查：

• ① 是不是忘了重启浏览器？
• ② data.json 是否真的在 HTML 同级目录下？
• ③ 插件图标在地址栏右上角是不是蓝色的（表示已启用）？