这种策略机制只保证与网站的HTTPS交互安全(从不保证HTTP)。HTTP严格传输安全缩写代表HTTP严格传输安全。保持最新的协议可以防止对安全协议的攻击。

HSTS响应的HSTS内部的漏洞是在2009年BlackHat Federal的一次题为“在实践中击败SSL的新技巧”的演讲中首次发现的。Marlinspike的工具SSLStrip演示了存在问题的漏洞。

使用该工具将安全的HTTPS连接转换回不安全的HTTP连接。解决方案是使用HSTS与浏览器通信，始终建议使用HTTPS连接。通过使用HSTS, cookie将不再被Firesheep等通过cookie窃取登录凭证的漏洞拦截。

我看到这里有很多有用的答案，但我还是遇到了一篇方便有用的文章。https://www.thesslstore.com/blog/clear-hsts-settings-chrome-firefox/

我也遇到了同样的问题，那篇文章帮助我了解了它到底是什么，以及如何处理它 HTH: -)

当你之前访问https://localhost时，它不仅通过一个安全通道(https而不是http)访问了这个，它还告诉你的浏览器，使用一个特殊的http头:严格传输安全(通常缩写为HSTS)，它应该只使用https所有未来的访问。

这是一个网络服务器可以用来防止人们降级到http的安全特性(无论是故意的还是一些邪恶的一方)。

然而，如果你关闭了https服务器，只是想浏览http，你就不能(通过设计-这是这个安全特性的重点)。

HSTS还阻止您接受和跳过过去的证书错误。

若要重置此设置，使HSTS不再为本地主机设置，请在Chrome地址栏中输入以下内容:

chrome://net-internals/#hsts

在这里你可以删除“localhost”的设置。

您可能还想知道是什么设置了这个，以避免将来出现这个问题!

请注意，对于其他网站(例如www.google.com)，这些是“预加载”到Chrome代码，因此不能删除。当你在chrome://net-internals/#hsts中查询它们时，你会看到它们被列为静态hsts条目。

最后请注意，谷歌已经开始为整个.dev域预加载HSTS: https://ma.ttias.be/chrome-force-dev-domains-https-via-preloaded-hsts/

我遇到同样的错误，隐身模式也有同样的问题。 我通过清除Chrome历史来解决这个问题。

这种策略机制只保证与网站的HTTPS交互安全(从不保证HTTP)。HTTP严格传输安全缩写代表HTTP严格传输安全。保持最新的协议可以防止对安全协议的攻击。

HSTS响应的HSTS内部的漏洞是在2009年BlackHat Federal的一次题为“在实践中击败SSL的新技巧”的演讲中首次发现的。Marlinspike的工具SSLStrip演示了存在问题的漏洞。

使用该工具将安全的HTTPS连接转换回不安全的HTTP连接。解决方案是使用HSTS与浏览器通信，始终建议使用HTTPS连接。通过使用HSTS, cookie将不再被Firesheep等通过cookie窃取登录凭证的漏洞拦截。

遇到类似的错误。重置chrome://net-internals/#hsts没有为我工作。问题是我的虚拟机的时钟按天倾斜。重新设置时间确实解决了这个问题。https://support.google.com/chrome/answer/4454607?hl=en