HSTS 副作用

苹果官方宣布 2017 年开始所有 AppStore 上架的 APP 都要启用 SSL/TLS 协议,于是把我们的 API 服务改为 HTTPS,问题来了,用户在输入域名的时候一般不会输「http」或者「https」,需要域名拥有者通过 302 跳转或者加「Strict-Transport-Security」头通知浏览器强制使用 https 访问,基于安全性考虑,我们用了加请求头的方式,后来由于开发调试需要,禁掉了 HTTPS,发现用浏览器访问服务地址都自动给转为了 https 前缀。。。 万事不决问 Google,找到 Chrome,Firefox 的解决之法,我们需要清除掉 HSTS 在浏览器的本地缓存,这样就不会再自动转换为 HTTPS。

  • Chrome
    Chrome 不愧是工程师的最爱,自带 Develop 功能,键入「chrome://net-internals/#hsts」在”Delete domain”那里删掉你想要的域名即可。
    截图
  • Firefox
    火狐家没有提供如 Chrome 般那么好用的工具,需要在管理历史记录里输入你想要删除的站点,然后右键删除该站点信息即可。
    截图