[从https://stackoverflow.com/questions/39937837/复制]
我有我的DNS设置指向local.example.com到127.0.0.1。 这样我就可以在现场和我的开发环境之间共享cookie。
在现场网站上激活HSTS,我的浏览器会自动尝试访问本地网站https://local.example.com/ ,因为我的开发服务器不支持SSL(我尝试在端口服务443)。
有没有办法指示我的浏览器(Chromium)忽略HSTS?
(从我读到的, includeSubDomains是非常重要的,以避免cookie劫持攻击 – 基本上我只想包括自己的子域例外)。
不,不可能添加exception。 但HSTS只声明必须有有效的证书,没有关于它是哪个证书(有HPKP头),所以你可以生成自己的自签名证书,导入到铬作为可信的证书和HSTS将工作得很好,即使在本地主机。
我不确定这是否有助于您的具体情况(并且您知道这个“解决scheme”),但是一种可能的方法是清除浏览器的HSTScaching。 也许这也可以映射到一个特殊的键(组合),这将使它更容易调用它。
以下是如何使用Chromium做到这一点:
chrome://net-internals/#hsts 。 附加说明:只有在您的域名不属于HSTS预加载列表的情况下才可以使用 。