[скопировано из https://stackoverflow.com/questions/39937837/]
У меня настроен DNS, чтобы указать local.example.com
на 127.0.0.1 . Это сделано для того, чтобы я мог обмениваться файлами cookie между действующим сайтом и моей средой разработки.
Если HSTS активирован на действующем сайте, который не работает, поскольку мой сервер разработки не поддерживает SSL (я пробовал использовать порт 443).
Есть ли способ указать моему браузеру (Chromium) игнорировать HSTS?
(Из чего я Я читал, что includeSubDomains
очень важны для предотвращения атак с перехватом файлов cookie - в основном я хочу включить исключение поддомена только для себя).
Я не уверен, что это поможет в вашей конкретной ситуации (и вы знаете об этом "решении"), но одним из возможных способов будет очистка кэша HSTS браузера. Возможно, также можно сопоставить его со специальным ключом (комбинацией), что облегчит его использование.
Вот как это сделать с Chromium:
chrome://net-internals/#hsts
. Дополнительное примечание: Это работает только в том случае, если ваш домен не входит в список предварительно загруженных HSTS.
.Нет, нельзя добавить исключение. Но HSTS только объявляет, что должен быть действительный сертификат, ничего о том, какой это сертификат (для этого есть заголовок HPKP), поэтому вы можете сгенерировать собственный самоподписанный сертификат, импортировать его в chrome в качестве доверенного сертификата, и HSTS будет хорошо работать даже на локальном хосте.
.