Отменить / отключить строгую безопасность транспорта HTTP

Идея заголовка HSTS заключается в том, что каждый клиент, посещающий страницу, должен локально хранить информацию «до времени ([сейчас] + [max-age] секунд), когда будет открыт доступ к этому сайту» только с использованием HTTPS ". Он предназначен для предотвращения атак типа «злоумышленник в середине», пытающихся заставить клиента использовать незашифрованное соединение.

Таким образом, любые попытки серверной стороны перенаправить клиента на HTTP-версию страницы, которая раньше имела неистекший заголовок HSTS, скорее всего, приведут к появлению пугающего предупреждения для пользователя. Единственный способ избежать этого (кроме ожидания истечения указанного периода HSTS) - удалить сохраненную информацию HSTS от любого клиента, который посетил сайт во время использования заголовка HSTS.

Вот инструкции для этой процедуры. для Chrome и Firefox.

Инструкции для Chrome

Перейдите к: chrome: // net-internals / # hsts

Затем введите полное имя вашего сайта в поле «Домен запроса», нажмите Нажмите кнопку "Запрос" и убедитесь, что там есть информация HSTS. Затем введите то же имя в разделе «Удалить политики безопасности домена» и нажмите «Удалить».

Инструкции для Firefox

Закройте все открытые вкладки, затем откройте окно полной истории (нажмите Control-Shift-H в Windows / Linux. , Command-Shift-H на Mac или выберите «История» -> «Показать всю историю» в строке меню, если она отображается). Найдите сайт, щелкните его правой кнопкой мыши и выберите «Забыть об этом сайте».

Если вам нужен метод, который можно автоматизировать, вы также можете отредактировать файл SiteSecurityServiceState.txt в каталоге профиля Firefox , когда Firefox не работает. работает . В используемом вами редакторе должны использоваться окончания строк в стиле Unix / Linux. Найдите строку, которая начинается с <полное имя вашего сайта>: HSTS , и удалите ее.