HTTP Strict Transport Security(またはHSTS)は、サイトが「自分のサイトでHTTPSを使用したいだけです.HTTPリンクに移動しようとすると、自動的にHTTPSにアップグレードします。あなたはリクエストを送信します "。基本的には、誤ってまたは意図的にHTTPトラフィックを送信することはできません。
これはセキュリティ機能です。 HTTPトラフィックは、他のドメインに傍受され、読み取られ、変更され、リダイレクトされます。 HTTPSのみのWebサイトでは、HTTPトラフィックをHTTPSにリダイレクトする必要がありますが、HTTP経由で最初に依頼が送信されている場合は、さまざまなセキュリティ問題や攻撃があります。
HSTSの仕組みは、お客様のウェブサイトがHTTPヘッダーStrict-Transport-Security
をHTTPSリクエストで例えばmax-age=31536000; includeSubDomains
の値で送信することです。ブラウザはこれをキャッシュし、HSTSを31536000秒(1年間)、この例ではアクティブにします。このHTTPヘッダーは、ブラウザのWebデベロッパーツールやhttps://securityheaders.ioのようなサイトで見ることができます。 chrome://net-internals/#hsts
サイトを使用すると、そのキャッシュをクリアしてHTTPトラフィックを再度許可することができます。ただし、HTTPS経由でサイトにアクセスするとすぐに、ヘッダーが再度送信され、ブラウザはHTTPSのみに戻ります。
この設定を永久に削除するには、Strict-Transport-Security
ヘッダーの送信を停止する必要があります。これをあなたのApache/Tomcatサーバーで探し、それをオフにしてください。または、最初にmax-age=0; includeSubDomains
に変更してください(ブラウザに0秒後にキャッシュをクリアするように指示するため、chrome://net-internals/#hsts
にアクセスしなくてもオフにします)、このヘッダーを取得するためにHTTPS経由でサイトを訪れる限り、その後完全にヘッダーを削除します。
をあなたはHSTSをオフにしたら、あなたが戻って標準のリダイレクトにHTTP上でいくつかのHTTPSのページといくつかを有することに戻すことができます。
を、反対を警告しないように、私の怠慢だろうがHTTPSは新しい標準であり、すべてのサイトがHTTPSに移行し、それにペナルティを科すことを奨励する一般的なプッシュがあります。詳しくは、https://www.troyhunt.com/life-is-about-to-get-harder-for-websites-without-https/のポストを読んでください。 HTTPSページでは、この問題に対処する別の方法があるかどうかを検討する必要があります。サイト上の単一のHTTPページがCookieの漏洩などのセキュリティ上の問題を引き起こす可能性があります(正しく設定されていない場合)。プラスフレームは恐ろしいので、もう使用しないでください:-)
徹底的な答えをありがとう。 httpsのページをiframeでしかサポートしないようにツールを修正しました。 – John