Chrome下强制http重定向到https的问题

问题：

Chrome会强制将http重定向到https，就算是在浏览器手动输入http://xxx也不可以。

解决方案：

1. 在chrome的地址栏输入chrome://net-internals/#hsts，在Query HSTS/PKP domain中查询指定的域是否有HSTS记录，如果存在，在Delete domain security policies中删除该域即可。
2. 如果完成第一步后仍不能访问，可以尝试清除浏览器缓存。

原因：

要解释上述情况产生的原因，则必须要先了解浏览器的HSTS功能。

HSTS强制要求浏览器与服务器进行HTTPS通信，例如，如果example.com站点开启了HSTS，则不管是在浏览器输入example.com或是http://example.com，亦或者在网页上点击http://example.com链接，浏览器都会自动将http替换为https，然后再发送请求。这样很大程度上避免了SSL剥离攻击的发生。

SSL剥离攻击其实是中间人攻击的一种，它基于用户很少直接在浏览器中输入https或者是用户经常通过重定向从http跳转到https，这样攻击者可以在用户访问http页面时替换所有的https开头的链接来阻止浏览器和服务器建立HTTPS连接。

之所以说是一定程度上避免，而不是完全避免，是因为HSTS也存在一定的漏洞，这个漏洞就是HSTS的开启方式。浏览器如果探测到一个https请求的response头部包含Strict-Transport-Security，则会为该站点开启HSTS功能。这意味每个站点的第一次请求仍有被攻击可能，所以大多数浏览器都会在本地维护一个HSTS域名列表，该列表默认会包含一些经常访问的域名，并且，在访问https站点时，也会将该站点添加到HSTS列表中。所以说，当用https访问过一个站点后，即使用http再次访问该站点，浏览器也会用https，而解决方法就是将该域名从HSTS列表中删除。