清除Firefox和Chrome中设置了PRELOAD的HSTS标志的工作方法

hxzsmxv2  于 2023-09-28  发布在  Go
关注(0)|答案(1)|浏览(96)

我开发的网页有HSTS打开。现在我想摆脱它。互联网上有很多方法,但没有一个对我有用。
我试

https://msutexas.edu/library/clearhsts.php#chrome-hdg-0
http://classically.me/blogs/how-clear-hsts-settings-major-browsers/

Mozilla论坛(很多痛苦)和其他
在Firefox中:我确实忘记了这个网站。我清理了整个历史。
在Chrome中,我尝试了新的配置文件,我尝试了chrome://net-internals/#hsts,但有关于预加载条目的说明:

我理解HSTS的动机,但现在我需要它消失。
编辑:
我什么都试过了,都不管用。我检查了我的网站没有发送任何HSTS头(使用空nginx)。作为最后的手段,我使用Linux来 Boot 新鲜,我又得到了HSTS。

所以很明显,必须有一个在浏览器之间共享的HSTS站点列表,然后我终于找到了https://hstspreload.org/,这解释了很多。
我的网站从www.example.com代理注入了HSTScloudflare.com。我不记得我是如何设置预加载标志的,但它就在那里。现在我只能从Chrome访问带有“thisinssecure”的网站。
导入自签名证书不起作用。我用正确的通用名生成了一个证书,Firefox仍然说“该证书不可信,因为它是自签名的。”它应该是可信的,因为我生成了它。At least the choice should be mine.
设置max-age=0不起作用,我认为是因为证书本身不受信任
我将尝试导入证书权限

idfiyjo8

idfiyjo81#

这似乎this SO answer has what you need-至少对于谷歌Chrome。
你的问题是你的网站似乎正在发送Strict-Transport-Security头,这些头将被缓存。
或者,你可以改变你正在开发的网站,并添加一个0的最大年龄指令到你的HSTS头,这样头立即过期。这将从访问该站点的任何浏览器该高速缓存中删除标头。然后,您将从解决方案中移除标头以永久禁用它。
编辑:看来Chrome现在有一个很好的UI,允许你检查和删除HSTS缓存中的项目-在浏览器中输入chrome://net-internals/#hsts
Firefox有一个不同的方法,你需要

  • 关闭Firefox的所有示例,并打开一个新的Firefox窗口
  • 打开历史视图
  • 右键单击项目列表中的站点,然后单击“忘记此站点”-这将清除该域的HSTS设置(和其他缓存数据
  • 重新启动Firefox并访问网站

编辑2:如果这不起作用,您可以删除HSTS密钥文件,如下所述in this post-密钥说明重复如下
Firefox的手动方法
首先通过操作系统的文件资源管理器定位Firefox配置文件文件夹。您可以通过Firefox导航到about:support找到此文件夹
在页面的中间,在应用程序基础部分,您将看到配置文件文件夹。单击“打开文件夹”。
现在关闭Firefox,以便浏览器不会覆盖我们要更改的任何设置。
在Profile文件夹中找到并打开文件SiteSecurityServiceState.txt。此文件包含您访问过的域的缓存HSTS和HPKP(键锁定,一种单独的HTTPS机制)设置。它可能非常混乱。搜索要清除其HSTS设置的域,并将其从文件中删除。每个条目都以域名开头。删除从所需域名开始到下一个列出的域的整个条目。
作为替代方案,您可以将现有文件从.txt重命名为.巴克(以保存现有文件,以防万一),并允许Firefox在下次启动时创建一个全新的文件。

相关问题