火狐开发者版默认启用了一系列实验性DOM安全限制。这直接导致本地开发频频翻车——页面白屏、控制台SecurityError刷屏、fetch请求被静默拒绝。切换到稳定版却一切正常。

问题根源在于：开发者版对内容安全策略（CSP）、跨域资源加载、HTTPS强制等机制的严格管控。而本地开发服务器（比如Vite、Webpack Dev Server）和旧版框架往往不兼容这些限制。

解决方案分三步走：先确认哪些实验性限制被激活，再关闭核心干扰项，最后清理残留缓存。

确认当前启用的实验性DOM安全限制项

这一步必须先做，避免误关关键防护。

开发者版的DOM安全限制并非单一开关，而是分散在about:config中多个以security.和dom.security.开头的布尔型首选项。部分在新版本中默认为true，但未在UI中暴露。

操作步骤：在地址栏输入about:config并回车 → 点击“I'll be careful, I promise” → 在搜索框依次输入以下关键词，逐个检查其值是否为true：

• security.csp.enable
• dom.security.legacy_tls_insecure_fallback
• dom.security.https_only_mode
• dom.security.https_only_mode_ever_enabled
• security.mixed_content.block_active_content

重要提示：只对值为true且你明确不需要的项目执行后续关闭操作。误关security.csp.enable可能使网页完全无法加载脚本。

永久关闭DOM安全限制的核心配置项

以下三项是导致本地开发中断最频繁的实验性DOM安全限制，需逐一设为false。修改后无需重启即可生效，但已加载的页面需刷新。

方法一：禁用HTTPS-only强制模式

在about:config中搜索dom.security.https_only_mode → 双击将其值由true改为false。

该选项一旦启用，会将所有http://请求自动升级为https://并拦截失败连接。对localhost:3000、127.0.0.1:8080等本地服务直接造成请求中断。

方法二：关闭混合内容主动拦截

搜索security.mixed_content.block_active_content → 双击设为false。

此设置会阻止HTTP资源在HTTPS页面中执行（如