如何预防HSTS？

Question

我有一个sdk，希望同时支持http和https，但是浏览器总是强制使用https。我知道这是浏览器的好功能，但是很多使用http的网站不能使用我的sdk。

有人知道我怎样才能防止HSTS或者解决这个问题的方法吗？

Answer 1

只有当相关网站要求HSTS (或者当用户手动将该网站添加到他的浏览器时)，HSTS才会被激活。所以如果HSTS是启用的，那是因为网站支持https (HSTS报头只有在安全的https响应上设置时才有效)。

如果网站没有提供http，你不能强迫它。(当使用HSTS时，所有绕过HSTS的http请求都可能得到对https的重定向作为答案)

注意，如果HSTS标头有'includeSubdomains‘选项，它将强制所有子域的https，即使它们不支持https。

最后一点: HSTS (和HTTPS)是一个安全特性，尝试禁用它可能是个坏主意。