其然:
現象 :訪問github倉庫報錯‘您目前無法訪問XXXX 因為此網站使用了 HSTS’
解決方法:清理HSTS的設定,重新獲取。chrome輸入chrome://net-internals/#hsts 找到 delete domain security policies 輸入有問題的域名 點擊delete.重新訪問域名即可。
其所以然:
HTTP嚴格傳輸安全協議(英語:HTTP Strict Transport Security,簡稱:HSTS)HTTP嚴格傳輸安全協議(英語:HTTP Strict Transport Security,簡稱:HSTS),是一套由互聯網工程任務組發布的互聯網安全策略機制。網站可以選擇使用HSTS策略,來讓瀏覽器強制使用HTTPS與網站進行通信,以減少會話劫持風險。HSTS的作用是強制客戶端(如瀏覽器)使用HTTPS與服務器創建連接。服務器開啟HSTS的方法是,當客戶端通過HTTPS發出請求時,在服務器返回的超文本傳輸協議(HTTP)響應頭中包含Strict-Transport-Security字段。目的是為了抵御SSL剝離攻擊。
SL剝離攻擊是中間人攻擊的一種,由Moxie Marlinspike於2009年發明。他在當年的黑帽大會上發表的題為“New Tricks For Defeating SSL In Practice”的演講中將這種攻擊方式公開。SSL剝離的實施方法是阻止瀏覽器與服務器創建HTTPS連接。它的前提是用戶很少直接在地址欄輸入https://,用戶總是通過點擊鏈接或3xx重定向,從HTTP頁面進入HTTPS頁面。所以攻擊者可以在用戶訪問HTTP頁面時替換所有https://開頭的鏈接為http://,達到阻止HTTPS的目的。
