什么是HSTS
HSTS是HTTP严格传输安全(英语:HTTP Strict Transport Security,缩写:HSTS)是一套由互联网工程任务组发布的互联网安全策略机制。网站可以选择使用HSTS策略,来让浏览器强制使用HTTPS与网站进行通信,以减少会话劫持风险。
— 来自维基百科
关闭
由于我的网站使用了CDN进行分发,所以我第一个考虑的就是CDN是不是开启了HSTS
,于是就去了云厂商的控制台,居然没有开启,反而在我的源站服务器里面手动添加了nginx
的header
(说实话我自己都不知道什么时候加上去的),于是删除掉就好了,一般格式为:
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
清除浏览器缓存
Chrome
直接进入chrome://net-internals/#hsts
,可以在下图区域直接搜索你的域名(根域名):
Edge
Edge的方法和Chrome类似,只是入口为:edge://net-internals/#hsts
后记
不过即使关闭了网站的HSTS
,将浏览器的HSTS
记录也清除掉,重新访问有时候还是会出现莫名的HSTS
记录,不知道是哪一步的妖魔鬼怪在作祟,等我找到了再把这部分更新上。