火狐浏览器开发者版如何永久关闭默认开启的实验性DOM安全限制功能

火狐开发者版默认启用多项DOM安全限制导致本地开发异常，需在about:config中检查security.csp.enable、dom.security.https_only_mode等配置项，仅对明确不需要的true项设为false，并清理Service Worker、网站数据及CSP缓存。

火狐浏览器开发者版（Firefox Developer Edition）在启动时会默认启用一系列实验性DOM安全限制功能，例如严格的内容安全策略（CSP）报错模式、跨域资源加载拦截增强、document.domain强制隔离等，这些机制常导致本地开发服务器（如Vite、Webpack Dev Server）、iframe调试、跨域API联调或旧版前端框架运行异常——页面白屏、控制台大量SecurityError报错、fetch被静默拒绝，而切换到稳定版则一切正常。

确认当前启用的实验性DOM安全限制项

这一步必须先做，避免误关关键防护。开发者版的DOM安全限制并非单一开关，而是分散在about:config中多个以security.和dom.security.开头的布尔型首选项，部分在新版本中默认为true但未在UI中暴露。

在地址栏输入about:config并回车→点击“I'll be careful, I promise”→在搜索框依次输入以下关键词，逐个检查其值是否为true：security.csp.enable、dom.security.legacy_tls_insecure_fallback、dom.security.https_only_mode、dom.security.https_only_mode_ever_enabled、security.mixed_content.block_active_content。

【只对值为true且你明确不需要的项目执行后续关闭操作；误关security.csp.enable可能使网页完全无法加载脚本】

永久关闭DOM安全限制的核心配置项

以下三项是导致本地开发中断最频繁的实验性DOM安全限制，需逐一设为false。修改后无需重启即可生效，但已加载的页面需刷新。

方法一：禁用HTTPS-only强制模式
在about:config中搜索dom.security.https_only_mode→双击将其值由true改为false。
该选项一旦启用，会将所有http://请求自动升级为https://并拦截失败连接，对localhost:3000、127.0.0.1:8080等本地服务直接造成请求中断。

方法二：关闭混合内容主动拦截
搜索security.mixed_content.block_active_content→双击设为false。
此设置会阻止HTTP资源在HTTPS页面中执行（如

方法三：停用CSP严格报错模式（仅限调试阶段）
搜索security.csp.enable→双击设为false。
【关闭后CSP策略将不再强制执行，页面可绕过script-src、connect-src等限制，仅建议在可信本地环境使用】

重置DOM安全相关缓存与状态

仅修改about:config不能清除已缓存的安全策略决策，必须手动清理：

① 在地址栏输入about:serviceworkers→点击“注销全部”按钮，清除Service Worker注册带来的CSP继承行为；

② 访问about:preferences#privacy→滚动至“Cookie和网站数据”区域→点击“管理数据…”→在搜索框输入localhost或你的开发域名→选中→点击“移除选定”；

③ 打开开发者工具（F12）→切换到“存储”面板→展开左侧“安全策略”节点→右键点击“Content-Security-Policy”→选择“清除”。
这一步清除的是页面级动态注入的CSP头缓存，不执行会导致即使配置已关，控制台仍持续报错。