如何禁止瀏覽器http自動(dòng)跳轉(zhuǎn)成https

一、場(chǎng)景

在公司網(wǎng)絡(luò)環(huán)境中，公司網(wǎng)站原本使用的是http://協(xié)議訪(fǎng)問(wèn)。當(dāng)在谷歌瀏覽器中輸入公司網(wǎng)站的http地址時(shí)，瀏覽器會(huì)自動(dòng)將其轉(zhuǎn)換成https://，然而公司網(wǎng)站相關(guān)接口并未完全適配https協(xié)議，導(dǎo)致轉(zhuǎn)換后無(wú)法正常訪(fǎng)問(wèn)網(wǎng)站內(nèi)容。與此同時(shí)，公司服務(wù)器的nginx已配置ssl 443接口，使用https://確實(shí)可以訪(fǎng)問(wèn)網(wǎng)站，但這要求所有接口都必須更改成https://形式才能正常調(diào)用，否則會(huì)引發(fā)跨域問(wèn)題，給公司內(nèi)部辦公及網(wǎng)站開(kāi)發(fā)測(cè)試帶來(lái)極大不便 。

二、問(wèn)題

由于nginx配置了ssl 443接口，網(wǎng)站開(kāi)啟了對(duì)https的支持。在這種情況下，瀏覽器為了保障用戶(hù)數(shù)據(jù)傳輸安全，默認(rèn)啟用了相關(guān)安全機(jī)制，如HSTS（HTTP Strict Transport Security）。一旦瀏覽器接收到來(lái)自服務(wù)器的HSTS響應(yīng)頭，它就會(huì)記住該網(wǎng)站必須通過(guò)HTTPS訪(fǎng)問(wèn)，之后即使手動(dòng)輸入HTTP地址，瀏覽器也會(huì)自動(dòng)將其轉(zhuǎn)換為HTTPS。這就導(dǎo)致公司網(wǎng)站在http訪(fǎng)問(wèn)時(shí)被強(qiáng)制跳轉(zhuǎn)，而內(nèi)部接口因未完全適配https，引發(fā)了跨域問(wèn)題，最終使得基于http的正常訪(fǎng)問(wèn)無(wú)法進(jìn)行 。

三、解決方案

針對(duì)不同的瀏覽器，有以下幾種禁用http自動(dòng)轉(zhuǎn)換成https的方法：

3.1 chrome瀏覽器

1. 在地址欄中輸入chrome://net - internals/#hsts ，進(jìn)入到Chrome的網(wǎng)絡(luò)內(nèi)部設(shè)置頁(yè)面中的HSTS設(shè)置區(qū)域。

2. 在這里，可以先使用Query功能對(duì)需要禁止跳轉(zhuǎn)的域名進(jìn)行測(cè)試，查看當(dāng)前瀏覽器對(duì)該域名的HSTS設(shè)置情況。若確認(rèn)要禁止跳轉(zhuǎn)，在“Delete domain security policies”下方的輸入框中輸入目標(biāo)域名，然后點(diǎn)擊Delete按鈕刪除該域名的HSTS策略。

3. 完成上述操作后，為確保設(shè)置生效，最好按下Ctrl + shift + delete組合鍵，清除瀏覽器緩存。之后關(guān)閉瀏覽器，重新打開(kāi)，再次訪(fǎng)問(wèn)http地址的公司網(wǎng)站，此時(shí)應(yīng)該不會(huì)再自動(dòng)跳轉(zhuǎn)為https了 。

   3.2 edge瀏覽器

4. 打開(kāi)Edge瀏覽器，在地址欄輸入edge://net - internals/#hsts ，進(jìn)入與Chrome類(lèi)似的網(wǎng)絡(luò)內(nèi)部設(shè)置中的HSTS管理頁(yè)面，此頁(yè)面也具備add（添加策略）、query（查詢(xún)策略）、delete（刪除策略）功能。

5. 在“Delete domain security policies”處輸入公司網(wǎng)站域名，點(diǎn)擊Delete按鈕，刪除瀏覽器對(duì)該域名的HSTS策略。這樣瀏覽器就不會(huì)再自動(dòng)將該域名的http請(qǐng)求轉(zhuǎn)換為https 。

   3.3 Safari瀏覽器

6. 首先，完全關(guān)閉Safari瀏覽器，確保沒(méi)有任何后臺(tái)進(jìn)程在運(yùn)行。

7. 通過(guò)訪(fǎng)達(dá)，進(jìn)入到用戶(hù)的個(gè)人資源庫(kù)目錄（~/Library），找到Cookies文件夾，在其中刪除HSTS.plist這個(gè)文件。該文件存儲(chǔ)了Safari瀏覽器所記住的HSTS相關(guān)信息，刪除它即清除了瀏覽器對(duì)網(wǎng)站HSTS設(shè)置的記憶。

8. 重新打開(kāi)Safari瀏覽器，此時(shí)再?lài)L試訪(fǎng)問(wèn)公司網(wǎng)站的http地址，一般情況下就不會(huì)自動(dòng)跳轉(zhuǎn)到https了。但在極少數(shù)情況下，可能需要重啟系統(tǒng)才能使設(shè)置完全生效 。

   3.4 Firefox瀏覽器

9. 關(guān)閉所有已打開(kāi)的Firefox頁(yè)面，確保沒(méi)有其他頁(yè)面在占用網(wǎng)絡(luò)連接及相關(guān)設(shè)置。

10. 清空瀏覽器的歷史記錄和緩存?？梢酝ㄟ^(guò)點(diǎn)擊瀏覽器菜單中的“歷史記錄”選項(xiàng)，選擇“清除近期歷史記錄”，在彈出的對(duì)話(huà)框中，勾選“緩存”和“歷史記錄”等項(xiàng)目，然后點(diǎn)擊“確定”進(jìn)行清除。

11. 在地址欄輸入about:permissions ，進(jìn)入到網(wǎng)站權(quán)限管理頁(yè)面。

12. 在該頁(yè)面的搜索框中，搜索公司網(wǎng)站的項(xiàng)目域名，找到對(duì)應(yīng)的域名條目后，點(diǎn)擊“Forget About This Site”按鈕。這一操作會(huì)讓Firefox瀏覽器忘記該網(wǎng)站的相關(guān)權(quán)限設(shè)置，包括HSTS設(shè)置，從而使得再次訪(fǎng)問(wèn)該網(wǎng)站的http地址時(shí)，不會(huì)自動(dòng)轉(zhuǎn)換為https 。

    3.5 Microsoft Edge（針對(duì)具有自動(dòng)HTTPS功能的版本，如從Microsoft Edge 92開(kāi)始）

13. 訪(fǎng)問(wèn)地址edge://flags/#edge - automatic - https ，進(jìn)入到Edge瀏覽器的實(shí)驗(yàn)性功能設(shè)置頁(yè)面。

14. 在頁(yè)面中找到“Automatic HTTPS”選項(xiàng)，其默認(rèn)值為Default（默認(rèn)開(kāi)啟自動(dòng)HTTPS功能），將其修改為Disabled（禁用）狀態(tài)。

15. 完成設(shè)置后，瀏覽器會(huì)提示需要重啟才能使更改生效，點(diǎn)擊“重啟”按鈕。重啟Edge瀏覽器后，自動(dòng)將http連接切換到https的功能就被禁用了，再次訪(fǎng)問(wèn)公司網(wǎng)站的http地址時(shí)，便不會(huì)自動(dòng)跳轉(zhuǎn)為https 。