什么是 HSTS?

HSTS 是 HTTP Strict Transport Security (HTTP严格传输安全)的简称。

说人话,你可以简单地理解为网站告诉浏览器:「在今后,只能通过 HTTPS 来访问我」。

HSTS 则一般通过 HTTP 请求头或者 preload 的方式来实现。前者是在你第一次访问网站的时候,浏览器会记下这个域名;而后者则直接被编译进入浏览器自身的名单之中。

为什么要绕过这个安全措施?

问题就出在这里,很多时候由于种种原因,网站的 TLS 证书可能会失效。比如管理员忘记续期了、服务器时间错误了等等。

对于普通网站,你可以点一下浏览器的「继续浏览」来绕过证书验证;而对于开启了 HSTS 的网站,一旦 TLS 证书失效,你便无法继续访问这个网站。

启用了 HSTS 的网站

部分时候,你并不会在网站上传输需要加密的内容,你可能只是想去复制一点无关痛痒的资料下来,这种限制会给你带来麻烦。

在这里用 Chrome 举例:Chrome 人性化的提供了一种暂时绕过 HSTS 的方式。

在浏览页面输入 thisisunsafe 就可以暂时跳过这种限制,继续访问这个网站。

顾名思义,这种方式是不安全的。

当然,你也可以在页面设置中恢复回来:

页面设置

标签: chrome, hsts

添加新评论