応答ヘッダーがある場合、それが何を意味するのかを見つけるのに苦労していますNon-Authoritative-Reason : HSTS
私はたくさん検索しましたが、HSTS (HTTP から HTTPS へのリダイレクト) についていくつかの説明を思いつきました。誰でもそれで私を助けることができますか?ちなみに私はChromeを使っています。
ありがとう
質問する
26578 次
3 に答える
75
接続しようとしているサーバーは、strict-transport-security (HSTS) を使用して、このサイトでデフォルトの http ではなく https のみが使用されるようにします。
これは、http://www.servername.comと入力すると、Chrome が自動的にこれをhttps://www.servername.comに変換することを意味します。
これは、暗号化されておらず、ハッカーが読み取ったり変更したりできる http の使用を防ぐためのセキュリティ機能です。これは、HSTS を使用することをサーバーが Chrome に (リクエストに応答して送信される特別な HTTP ヘッダーを介して) 伝えることによって設定できます。この設定は、そのヘッダーの max-age 値で定義されている一定時間、Chrome によってキャッシュされます。さらに、サイトの所有者は、Chrome に自動的に含まれるプリロード リストにサイトを送信できます。これにより、通常はサイトにアクセスしてヘッダーを受け取る必要があるため、最初のアクセスでも保護されます。
Chrome がこれをネットワーク タブに表示する方法は、アドレスの https バージョンへのリダイレクトを含むダミーの 307 応答を作成することです。しかし、これは偽の応答であり、サーバーによって生成されたものではありません。実際には、要求がサーバーに送信される前に、Chrome が内部的にそれを行っていました。
サイトのこの設定をクリアするには、Chrome の URL フィールドに次のようにchrome://net-internals/#hsts入力し、サイトを検索して削除します。これを最上位ドメインに設定してサブドメインを含めることもできるため、そこから削除する必要がある場合があります。または、サーバー構成を変更して max-age を 0 にしてヘッダーを公開し、サイトに再度アクセスしてこれをクリアしてから、ヘッダーの公開を停止することもできます。これは、これをクリアするのが簡単ではない他のブラウザーに役立ちます。
これは Web ブラウザのコードに埋め込まれているため、サイトがプリロード リストにある場合、この設定をクリアできないことに注意してください。サイトの所有者はプリロード リストから削除するリクエストを送信できますが、Chrome のリリース サイクルを完了するには数か月かかり、他のブラウザーのタイムラインは定義されていません。Chrome には、セキュリティ上の理由から、プリロードされた設定を上書きする方法もありません。
于 2015-12-10T23:17:07.127 に答える