如何预防HSTS?
How to prevent HSTS?
我有一个 sdk,想同时支持 http 和 https,但浏览器总是强制支持 https。我知道这是浏览器的一个很好的功能,但许多使用 http 的网站无法使用我的 sdk。
有谁知道如何防止 HSTS 或解决方案?
只有当相关网站要求时(或当用户手动将网站添加到他的浏览器时),HSTS 才会被激活。所以如果启用了 HSTS,那是因为该网站支持 https(HSTS header 仅在设置为安全 https 响应时才有效)。
如果网站不提供http你就不能强制。 (并且当使用 HSTS 时,所有绕过 HSTS 的 http 请求都可能会重定向到 https 作为答案)
请注意,如果 HSTS header 具有 'includeSubdomains' 选项,它将强制所有子域使用 https,即使它们不支持 https。
最后一点:HSTS(和 HTTPS)是一项安全功能,尝试禁用它可能不是一个好主意。
我有一个 sdk,想同时支持 http 和 https,但浏览器总是强制支持 https。我知道这是浏览器的一个很好的功能,但许多使用 http 的网站无法使用我的 sdk。
有谁知道如何防止 HSTS 或解决方案?
只有当相关网站要求时(或当用户手动将网站添加到他的浏览器时),HSTS 才会被激活。所以如果启用了 HSTS,那是因为该网站支持 https(HSTS header 仅在设置为安全 https 响应时才有效)。
如果网站不提供http你就不能强制。 (并且当使用 HSTS 时,所有绕过 HSTS 的 http 请求都可能会重定向到 https 作为答案)
请注意,如果 HSTS header 具有 'includeSubdomains' 选项,它将强制所有子域使用 https,即使它们不支持 https。
最后一点:HSTS(和 HTTPS)是一项安全功能,尝试禁用它可能不是一个好主意。