hsts

Strict-Transport-Security(HSTS) HTTP 头可以告诉浏览器使用强制的更高安全控制，比如当访问到的 SSL/TLS 证书异常时，浏览器会拒绝让用户添加例外（如下图，没有 HSTS 头的时候，Firefox 会有个让用户添加例外的选项，用户可以忽略这个证书异常，继续访问网站。如果是下图的情况，用户登录了这个伪装为 onedrive 的网站，恐怕后果就很严重了），或者是让浏览器以后都默认使用 TLS 协议访问这个网站，而不用再通过 80 端口去重定向（这个时候也是很容易被攻击的）。 经过检查，Chrome 或者 Firefox 都有此问题，但是 IE 却没有，所以可以怀疑是浏览器这头做的跳转

在安装配置 SSL 证书时，可以使用一种能使数据传输更加安全的Web安全协议，即在服务器端上开启HSTS(HTTP Strict Transport Security)。它告诉浏览器只能通过HTTPS访问，而绝对禁止HTTP方式。 但是，在日常开发的过程中，有时我们会想测试页面在 HTTP 连接中的表现情况，这时 HSTS 的存在会让调试不能方便的进行下去