Chrome下强制http重定向到https的问题

2018-7-3 chenmo 电脑网络

问题:

Chrome会强制将http重定向到https,就算是在浏览器手动输入http://xxx也不可以。

 

解决方案:

1. 在chrome的地址栏输入chrome://net-internals/#hsts,在Query HSTS/PKP domain中查询指定的域是否有HSTS记录,如果存在,在Delete domain security policies中删除该域即可。
2. 如果完成第一步后仍不能访问,可以尝试清除浏览器缓存。

 google-htst.jpg

原因:

要解释上述情况产生的原因,则必须要先了解浏览器的HSTS功能。

HSTS强制要求浏览器与服务器进行HTTPS通信,例如,如果example.com站点开启了HSTS,则不管是在浏览器输入example.com或是http://example.com,亦或者在网页上点击http://example.com链接,浏览器都会自动将http替换为https,然后再发送请求。这样很大程度上避免了SSL剥离攻击的发生。

SSL剥离攻击其实是中间人攻击的一种,它基于用户很少直接在浏览器中输入https或者是用户经常通过重定向从http跳转到https,这样攻击者可以在用户访问http页面时替换所有的https开头的链接来阻止浏览器和服务器建立HTTPS连接。

之所以说是一定程度上避免,而不是完全避免,是因为HSTS也存在一定的漏洞,这个漏洞就是HSTS的开启方式。浏览器如果探测到一个https请求的response头部包含Strict-Transport-Security,则会为该站点开启HSTS功能。这意味每个站点的第一次请求仍有被攻击可能,所以大多数浏览器都会在本地维护一个HSTS域名列表,该列表默认会包含一些经常访问的域名,并且,在访问https站点时,也会将该站点添加到HSTS列表中。所以说,当用https访问过一个站点后,即使用http再次访问该站点,浏览器也会用https,而解决方法就是将该域名从HSTS列表中删除。

标签: google https

评论(0) 浏览(155)

HTML5开发:Google Web Designer下载

2013-11-26 chenmo 网站建设

Google Web Designer是Google最近发布的一款免费Web网页设计工具,主要用于创建基于HTML5和CSS3的网页或交互式动画,设计出的网页动画无需Flash支持,能适应任何平台与设备,不用考虑兼容性问题,最新版升级到1.01.1025,目前仍然是Beta版。

Google Web Designer提供了一个完整的、所见即所得的全3D设计环境,支持设计视图和代码视图,对设计做的任何修改,都可以在两种视图中实时呈现。

对于网页动画设计,Web Designe...

阅读全文>>

标签: 下载 google HTML5 Web 开发 Designer

评论(0) 浏览(1249)

google短网址工具 在线生成 并自带二维码

2013-4-10 chenmo 网站建设

http://goo.gl/ 这个是谷歌的在线短网址生成网站,登陆账号后,可以管理链接,还带自动生成二维码哦。

 

下面还提供一个PHP+mysql的源码程序:

http://code.google.com/p/phurl/

阅读全文>>

标签: 短网址 在线生成 google PHP源码

评论(0) 浏览(3289)

Powered by emlog 湘ICP备13007859号 空间由景安网络赞助