苦逼前端

http请求被307到https

Javascript2018-11-10 21:51

问题复现

  1. 先访问https://a.com, 该网页JS会请求https://api.a.com接口
  2. 再访问http://a.com, 该网页JS会请求http://api.a.com,但是查看网络请求发现,http://api.a.com被强制307到了https://api.a.com

经过排查发现,这是命中了浏览器的HSTS策略,即:

一切能通过https访问的网址,都用https来访问

「能通过https访问的网址」怎么定义呢?那就是你曾经访问过该网址的https链接。

  • (当然可以通过清除浏览器历史记录来骗过浏览器,但你的用户可能不知道这个操作)

问题解决

  • server端重定向用户访问的http链接到https
  • 如果必须允许用户访问http链接,则服务端接口针对80端口请求做跨域支持,因为跨端口也是跨域

307从何而来,是个什么东西呢

经过使用chrome://net-internals/追踪发现,是浏览器自己返回的:

URL_REQUEST_REDIRECT_JOB
    --> reason = "HSTS"
t=24613 [st= 2]  URL_REQUEST_FAKE_RESPONSE_HEADERS_CREATED
    --> HTTP/1.1 307 Internal Redirect
        Location: https://api.a.com
        Non-Authoritative-Reason: HSTS
        Access-Control-Allow-Origin: http://api.a.com
        Access-Control-Allow-Credentials: true

这里是307状态码含义的解释

评论(1)
  • fendoudexiaolong: 一个网址既可以用http又可以用https,如果访问了一次https,重复访问时浏览器会搜索缓存是否有https网址;如果有会被默认307(临时重定向)至https,我们想让https跳回访问http需要做跨域处理, 例如这种 用户 -> https -> nginx -> http -> 服务器1年10个月前
还可输入200个字