一聚教程网:一个值得你收藏的教程网站

最新下载

热门教程

火狐浏览器中如何利用开发者工具绕过Strict-Transport-Security强制跳转限制?

时间:2026-06-22 10:46:47 编辑:袖梨 来源:一聚教程网

火狐浏览器访问HTTP网址被自动跳转至HTTPS且显示“连接不是私密连接”,是因目标域名已通过HSTS响应头注册强制HTTPS策略并写入本地预加载列表;需通过about:config进入、删除SiteSecurityServiceState.txt中对应域名记录或使用HSTS状态管理器清除缓存方可恢复HTTP访问。

火狐浏览器访问HTTP网址时被自动跳转到HTTPS,且地址栏显示“您的连接不是私密连接”或空白页,是因为目标域名已通过Strict-Transport-Security响应头向浏览器注册了强制HTTPS策略,该策略写入本地HSTS预加载列表后无法通过普通刷新清除。

清除当前域名的HSTS缓存记录

第一步:在火狐地址栏输入 about:config → 点击“我接受风险并继续”

第二步:在搜索框中输入 network.http.speculative-parallel-limit → 暂不修改此项,仅用于确认配置环境已加载

第三步:关闭所有含目标域名的标签页 → 在新空白标签页中输入 chrome://pippki/content/hsst.html

第四步:页面顶部出现“HSTS状态管理器”,在下方输入框中填入你要绕过的域名(如 example.com)→ 点击“删除”按钮 → 若提示“未找到匹配项”,说明该域名尚未被HSTS策略持久化,跳转行为来自服务器端Location重定向而非浏览器HSTS机制

临时禁用HSTS策略生效逻辑

方法一:通过about:config关闭HSTS强制执行开关

在地址栏输入 about:config → 搜索 security.ssl.enable_ocsp_stapling → 双击设为 false(此操作不影响证书验证,但会削弱HSTS策略的实时校验强度)

方法二:注入覆盖式HSTS策略清除指令

打开目标HTTP页面 → 按 Ctrl+Shift+I 打开开发者工具 → 切换到“控制台”面板 → 输入以下命令并回车:
document.location = 'http://' + document.domain + document.location.pathname + document.location.search;

这行代码会强行将当前HTTPS页面重定向回HTTP协议,但仅对当前会话有效;若页面存在meta refresh或JS location.replace调用,需同步执行下一步

永久移除HSTS预加载列表中的域名

第一步:完全退出火狐浏览器(包括右下角任务栏残留进程)

第二步:打开文件资源管理器,定位到火狐配置目录:
Windows路径:%APPDATA%MozillaFirefoxProfiles*.default-release
macOS路径:~/Library/Application Support/Firefox/Profiles/*.default-release/
Linux路径:~/.mozilla/firefox/*.default-release/

第三步:找到并用文本编辑器打开 SiteSecurityServiceState.txt 文件

第四步:查找包含目标域名的整行内容(格式如 example.com 1 0 1672531200000 1672531200000)→ 删除该整行 → 保存文件

第五步:重新启动火狐浏览器 → 此时访问 http://example.com 将不再被强制跳转至 HTTPS

热门栏目