如何禁止瀏覽器http自動跳轉(zhuǎn)成https

一、場景

在公司網(wǎng)絡(luò)環(huán)境中，公司網(wǎng)站原本使用的是http://協(xié)議訪問。當(dāng)在谷歌瀏覽器中輸入公司網(wǎng)站的http地址時，瀏覽器會自動將其轉(zhuǎn)換成https://，然而公司網(wǎng)站相關(guān)接口并未完全適配https協(xié)議，導(dǎo)致轉(zhuǎn)換后無法正常訪問網(wǎng)站內(nèi)容。與此同時，公司服務(wù)器的nginx已配置ssl 443接口，使用https://確實(shí)可以訪問網(wǎng)站，但這要求所有接口都必須更改成https://形式才能正常調(diào)用，否則會引發(fā)跨域問題，給公司內(nèi)部辦公及網(wǎng)站開發(fā)測試帶來極大不便 。

二、問題

由于nginx配置了ssl 443接口，網(wǎng)站開啟了對https的支持。在這種情況下，瀏覽器為了保障用戶數(shù)據(jù)傳輸安全，默認(rèn)啟用了相關(guān)安全機(jī)制，如HSTS（HTTP Strict Transport Security）。一旦瀏覽器接收到來自服務(wù)器的HSTS響應(yīng)頭，它就會記住該網(wǎng)站必須通過HTTPS訪問，之后即使手動輸入HTTP地址，瀏覽器也會自動將其轉(zhuǎn)換為HTTPS。這就導(dǎo)致公司網(wǎng)站在http訪問時被強(qiáng)制跳轉(zhuǎn)，而內(nèi)部接口因未完全適配https，引發(fā)了跨域問題，最終使得基于http的正常訪問無法進(jìn)行 。

三、解決方案

針對不同的瀏覽器，有以下幾種禁用http自動轉(zhuǎn)換成https的方法：

3.1 chrome瀏覽器

1. 在地址欄中輸入chrome://net - internals/#hsts ，進(jìn)入到Chrome的網(wǎng)絡(luò)內(nèi)部設(shè)置頁面中的HSTS設(shè)置區(qū)域。

2. 在這里，可以先使用Query功能對需要禁止跳轉(zhuǎn)的域名進(jìn)行測試，查看當(dāng)前瀏覽器對該域名的HSTS設(shè)置情況。若確認(rèn)要禁止跳轉(zhuǎn)，在“Delete domain security policies”下方的輸入框中輸入目標(biāo)域名，然后點(diǎn)擊Delete按鈕刪除該域名的HSTS策略。

3. 完成上述操作后，為確保設(shè)置生效，最好按下Ctrl + shift + delete組合鍵，清除瀏覽器緩存。之后關(guān)閉瀏覽器，重新打開，再次訪問http地址的公司網(wǎng)站，此時應(yīng)該不會再自動跳轉(zhuǎn)為https了 。

   3.2 edge瀏覽器

4. 打開Edge瀏覽器，在地址欄輸入edge://net - internals/#hsts ，進(jìn)入與Chrome類似的網(wǎng)絡(luò)內(nèi)部設(shè)置中的HSTS管理頁面，此頁面也具備add（添加策略）、query（查詢策略）、delete（刪除策略）功能。

5. 在“Delete domain security policies”處輸入公司網(wǎng)站域名，點(diǎn)擊Delete按鈕，刪除瀏覽器對該域名的HSTS策略。這樣瀏覽器就不會再自動將該域名的http請求轉(zhuǎn)換為https 。

   3.3 Safari瀏覽器

6. 首先，完全關(guān)閉Safari瀏覽器，確保沒有任何后臺進(jìn)程在運(yùn)行。

7. 通過訪達(dá)，進(jìn)入到用戶的個人資源庫目錄（~/Library），找到Cookies文件夾，在其中刪除HSTS.plist這個文件。該文件存儲了Safari瀏覽器所記住的HSTS相關(guān)信息，刪除它即清除了瀏覽器對網(wǎng)站HSTS設(shè)置的記憶。

8. 重新打開Safari瀏覽器，此時再嘗試訪問公司網(wǎng)站的http地址，一般情況下就不會自動跳轉(zhuǎn)到https了。但在極少數(shù)情況下，可能需要重啟系統(tǒng)才能使設(shè)置完全生效 。

   3.4 Firefox瀏覽器

9. 關(guān)閉所有已打開的Firefox頁面，確保沒有其他頁面在占用網(wǎng)絡(luò)連接及相關(guān)設(shè)置。

10. 清空瀏覽器的歷史記錄和緩存?？梢酝ㄟ^點(diǎn)擊瀏覽器菜單中的“歷史記錄”選項，選擇“清除近期歷史記錄”，在彈出的對話框中，勾選“緩存”和“歷史記錄”等項目，然后點(diǎn)擊“確定”進(jìn)行清除。

11. 在地址欄輸入about:permissions ，進(jìn)入到網(wǎng)站權(quán)限管理頁面。

12. 在該頁面的搜索框中，搜索公司網(wǎng)站的項目域名，找到對應(yīng)的域名條目后，點(diǎn)擊“Forget About This Site”按鈕。這一操作會讓Firefox瀏覽器忘記該網(wǎng)站的相關(guān)權(quán)限設(shè)置，包括HSTS設(shè)置，從而使得再次訪問該網(wǎng)站的http地址時，不會自動轉(zhuǎn)換為https 。

    3.5 Microsoft Edge（針對具有自動HTTPS功能的版本，如從Microsoft Edge 92開始）

13. 訪問地址edge://flags/#edge - automatic - https ，進(jìn)入到Edge瀏覽器的實(shí)驗(yàn)性功能設(shè)置頁面。

14. 在頁面中找到“Automatic HTTPS”選項，其默認(rèn)值為Default（默認(rèn)開啟自動HTTPS功能），將其修改為Disabled（禁用）狀態(tài)。

15. 完成設(shè)置后，瀏覽器會提示需要重啟才能使更改生效，點(diǎn)擊“重啟”按鈕。重啟Edge瀏覽器后，自動將http連接切換到https的功能就被禁用了，再次訪問公司網(wǎng)站的http地址時，便不會自動跳轉(zhuǎn)為https 。