当我有响应标头时,我很难找出它的含义Non-Authoritative-Reason : HSTS
我搜索了很多,但只是想出了一些关于 HSTS(从 HTTP 重定向到 HTTPS)的解释。有人能帮我吗?顺便说一句,我正在使用 Chrome。
Thanks
您尝试连接的服务器使用严格传输安全 (HSTS) 来确保此站点仅使用 https,而不是默认的 http。
这意味着如果您输入http://www.servername.com http://www.servername.com然后 Chrome 会自动将其转换为https://www.servername.com https://www.servername.com.
这是一项安全功能,旨在防止使用未加密的 http,并且可以被黑客读取和更改。这可以通过服务器告诉 Chrome(通过响应请求而发送的特殊 HTTP 标头)它使用 HSTS 来设置。然后,Chrome 会根据该标头中 max-age 值中定义的给定时间来缓存此设置。此外,网站所有者可以将其网站提交到自动包含在 Chrome 中的预加载列表 - 这甚至可以保护第一次访问,因为通常您需要访问该网站才能接收标头才能激活它。
Chrome 在网络选项卡中显示此信息的方式是创建一个虚拟 307 响应,并重定向到 https 版本的地址。但这是一个假响应,并且不是由服务器生成的 - 事实上,Chrome 在请求发送到服务器之前就已经在内部执行了此操作。
要清除网站的此设置,您可以在 Chrome 的 URL 字段中输入以下内容:chrome://net-internals/#hsts
然后搜索您的网站并将其删除。您还可以将其设置在顶级域并包含子域,因此您可能需要从那里删除。或者,您可以更改服务器配置以发布 max-age 为 0 的标头,然后重新访问该站点以清除该标头,然后停止发布标头,这对于清除该标头不太容易的其他浏览器很有帮助。
请注意,如果网站位于预加载列表中,则无法清除此设置,因为该网站已嵌入 Web 浏览器的代码中。网站所有者可以提交从预加载列表中删除的请求,但这需要几个月的时间才能完成 Chrome 的发布周期,而其他浏览器则没有明确的时间表。出于安全原因,Chrome 也不提供覆盖预加载设置的方法。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)