新年第一篇

　　自从不知道什么时候开始，我就用Chrome打不开学校的各种网站，但edge却能正常打开。每次打开学校的网站，就显示此网站使用了HSTS，以及“攻击者可能会试图从www.google.com窃取您的信息（例如：密码、通讯内容或信用卡信息）。NET::ERR_CERT_COMMON_NAME_INVALID”。
　　很久以来，我都以为是学校的服务器在尝试使用加密证书，却自己给自己颁发了一个证书，导致Chrome无法正常打开。
　　万万没想到这是Chrome的新套路，强制使用https协议加密传输。

尴尬的场面如下图所示：

0.原因

　　起因是这样，https 使用的是 443 端口进行数据传输，而浏览器的默认端口是 80。 劫持者首先劫持用户的 80 端口，当用户向目标页发起请求时，劫持者模拟正常的 https 请求向源服务器获取数据，然后通过 80 端口返回给用户。而为了防止这样的攻击，Chrome浏览器可以设置强制使用 https 请求访问某个域名。具体原理，请参照小胡子哥的《你所不知道的 HSTS》。

1.解决方案

• 1、在Chrome地址栏中输入“chrome://net-internals/#hsts”，进入Domain Sercurity Policy界面。
• 2、在下图中输入二级域名查询是否使用了强制 HTTPS 请求。
  
• 3、如果有查询结果，则在最下方的delete栏处，删除该域名的信息，如下图：
  
• 4、再次查询，如下图所示，“NOT FOUND”则表示删除成功。
  
• 此时，再次打开相关网页就能成功加载了！
  

2.结语

　　其实也并不是多大的问题，唯一没想到的是Chrome这安全机制的问题。所以，多学新东西，跟不上时代就会连网页都打不开的。

转载请注明出处，无偿提供。