HSTS 诡异的问题

查看 53|回复 4
作者:sankooc   
碰上了一个诡异问题
nginx 配了域名转发 客户端配置 hosts 文件
    server {
        listen      80;
        server_name sso.mibox.dev;
        location / {
            proxy_pass http://127.0.0.1:10088;
        }
    }
    server {
        listen      80;
        server_name sso.mibox.com;
        location / {
            proxy_pass http://127.0.0.1:10088;
        }
    }
客户端通过 curl 请求两个域名得到的响应是预期中的
通过 chrome 打开 sso.mibox.com 是正常的
但是打开 sso.mibox.dev 会给我 307 转发到 https 上
HTTP/1.1 307 Internal Redirect
Location: https://sso.mibox.dev/
Cross-Origin-Resource-Policy: Cross-Origin
Non-Authoritative-Reason: HSTS
  • nginx 只配置了这两个域名
  • chrome 的缓存清除过
  • chrome 的 hsts 设置中都未有相关这两个域名的配置
  • 换 edge 和 firefox 也是一样

    如果说有区别的话 客户端安装了自定义的 CA 相关 sso.mibox.dev 这个域名
    按理来说即使有这个 ca 也不应该影响 http 的访问
    那位大佬帮忙分析以下为什么 sso.mibox.dev 为什么浏览器会自动转发至 https
    软件版本
  • nginx: 1.22.0
  • chrome 123.0.6312.86

  • dallaslu   
    get.dev 首页说明:
    > The .dev top-level domain is included on the HSTS preload list, making HTTPS required on all connections to .dev websites and pages without needing individual HSTS registration or configuration.
    OneXT   
    @dallaslu 6 啊大佬。又长知识了。
    sankooc
    OP
      
    @dallaslu 原来是这样... 随便起的 dev 后缀居然是预设的...
    coala   
    可以关注下 307 Temporary Redirect 和 307 Internal Redirect 的区别,
    Internal Redirect 是浏览器行为, 都是谷歌干的。
    您需要登录后才可以回帖 登录 | 立即注册

    返回顶部