问题：如何解决Firefox阻止未验证插件安装？

一、问题背景：Firefox 阻止未验证插件安装

在使用 Firefox 浏览器进行扩展开发或测试时，用户常会遇到“Firefox 阻止未验证插件安装”的提示。这是由于从 Firefox 46 版本起，默认启用了扩展签名机制（Add-on Signing），仅允许安装来自官方附加组件商店（AMO）的已签名扩展。

该机制旨在提升浏览器安全性，防止恶意插件注入，但也给开发者和企业内部部署带来了限制。

二、分析过程与技术原理

• 扩展签名机制：Firefox 要求所有扩展必须经过 Mozilla 的签名认证后才能安装。
• 临时加载机制：开发者模式下可加载未经签名的扩展，但重启浏览器后失效。
• 安全策略控制：通过 about:config 和策略配置文件可以绕过签名检查。

三、解决方案详解

1. 修改 about:config 配置禁用签名验证
   • 打开 Firefox，输入 about:config 回车；
   • 接受风险提示进入配置页面；
   • 搜索 xpinstall.signatures.required；
   • 将其值设置为 false。
2. 使用开发者模式手动安装
   • 访问 about:debugging#/runtime/this-firefox；
   • 点击“加载临时附加组件”按钮；
   • 选择本地扩展的 .xpi 或 manifest.json 文件进行加载。
3. 申请官方签名发布至 AMO
   • 将扩展打包并提交至 AMO；
   • Mozilla 审核通过后自动签名；
   • 用户可通过 AMO 正常安装扩展。
4. 部署企业策略白名单
   • 适用于组织内网环境；
   • 通过配置 policies.json 策略文件；
   • 指定信任的扩展 ID 或哈希值，跳过签名验证。

四、不同场景下的适用方案对比

五、进阶内容：企业策略配置示例

在企业环境中，可以通过创建 policies.json 文件实现扩展白名单配置：

{
  "policies": {
    "ExtensionSettings": {
      "{extension-id}": {
        "installation_mode": "force_installed",
        "install_url": "file:///path/to/your-extension.xpi"
      }
    }
  }
}

此方法需要将文件放置于 Firefox 的安装目录下的 distribution/bundles 路径中。

六、安全建议与注意事项

尽管上述方法能解决“Firefox 阻止未验证插件安装”的问题，但应始终注意以下几点：

• 避免在公共设备上禁用签名验证；
• 仅加载可信来源的扩展代码；
• 企业部署时定期更新扩展版本，确保安全合规；
• 测试完成后及时恢复默认安全设置。

七、未来趋势与兼容性展望

随着 WebExtensions API 的标准化推进，越来越多的浏览器平台支持统一的扩展格式。Firefox 对扩展签名的要求也在不断演进，未来可能进一步强化签名机制，甚至完全禁止本地加载未签名扩展。

开发者应逐步过渡到官方签名流程，或采用企业级部署方案以适应长期发展需求。

八、流程图：Firefox 插件安装决策路径

graph TD
    A[尝试安装扩展] --> B{是否来自AMO？}
    B -- 是 --> C[自动签名验证通过]
    B -- 否 --> D{是否启用开发者模式？}
    D -- 是 --> E[临时加载成功]
    D -- 否 --> F{是否关闭签名验证？}
    F -- 是 --> G[允许安装未签名插件]
    F -- 否 --> H[安装被阻止]