开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

阻止本地站点被强制在Chrome上使用HTTPS？

要阻止本地站点被强制在Chrome上使用HTTPS，可以通过以下方法进行操作：

使用Chrome浏览器的特殊标记：在Chrome浏览器的快捷方式目标中添加参数"--ignore-certificate-errors"，这将忽略证书错误并允许使用HTTP连接。例如，目标可以设置为："C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --ignore-certificate-errors。
使用Chrome浏览器的开发者工具：在Chrome浏览器中按下F12键打开开发者工具，然后点击设置（齿轮图标），在"Preferences"选项卡中找到"Security"部分，勾选"Enable HTTPS"选项，然后刷新页面即可。
修改Chrome浏览器的安全策略：在Chrome浏览器中输入"chrome://flags"并回车，然后搜索"mark-non-secure-as"，将其设置为"Disabled"，然后重新启动浏览器。

需要注意的是，这些方法仅适用于本地开发和测试环境，不建议在生产环境中使用。在生产环境中，使用HTTPS是保证数据安全和用户隐私的重要手段，因此推荐使用HTTPS来加密传输数据。

腾讯云相关产品和产品介绍链接地址：

SSL证书：提供各类SSL证书，保证网站数据传输的安全性。详情请参考：https://cloud.tencent.com/product/ssl-certificate
CDN加速：通过分布式部署节点，提供全球范围内的内容分发服务，加速网站访问速度。详情请参考：https://cloud.tencent.com/product/cdn
WAF Web应用防火墙：提供全面的Web应用安全防护，保护网站免受各类攻击。详情请参考：https://cloud.tencent.com/product/waf

相关搜索:Chrome使用https作为本地开发站点的前缀在Windows10的Chrome版本60上，SpeechRecognition总是被阻止在google域名上强制heroku应用程序使用HTTPS 使用Kubernetes / Traefik Ingress在本地域上启用https 移动到VPS后，在Chrome中我的https站点上不显示来自http站点的Html图像 Heroku应用程序在iOS上不使用https，但在桌面Chrome上使用使用location header从Chrome重定向到在302之后被阻止的Android应用 Chrome在非ssl heroku web应用程序上强制使用ssl 在移动设备上使用时，文本被Html页面上的元素阻止在onload事件被触发后，有没有办法阻止chrome上的v8执行javascript？Chrome上的Web midi可以在本地服务器上使用，但在云中不能使用在使用Selenium打开chrome上的活动配置文件后，无法使用"get“函数加载站点？在不同的显示器上打开2个Chrome窗口，但使用本地存储 Chrome和Firefox中的NET::ERR_CERT_AUTHORITY_INVALID在nginx上使用有效证书进行本地认证使用raspberry pi在本地主机上使用raspberry pi从html站点上的网络摄像头流式传输实时视频 Selenium Webdriver在Windows 10与Ubuntu Linux和本地与云上使用Chrome Driver进行并行测试时的性能尝试在本地网络上的另一台计算机上使用WAMP访问Wordpress站点时出错在mac上使用chrome的本地Capybara测试使用证书进行身份验证-正在寻找一种防止这种情况的方法如何有选择地在使用ASP.NET核心中间件运行状况检查创建的运行状况检查端点上强制实施HTTPS？在GitHub页面上的项目存储库(不是我的用户存储库)上使用Jekyll构建的站点可以在本地工作，但在联机时重定向到我的帖子不正确

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

两个你必须要重视的 Chrome 80 策略更新！！！

1.混合内容强制 HTTPS 混合内容是指 https 页面下有非 https 资源时，浏览器的加载策略。...在 Chrome 80 中，如果你的页面开启了 https，同时你在页面中请求了 http 的音频和视频资源，这些资源将将自动升级为 https ，并且默认情况下，如果它们无法通过https 加载，Chrome...例如，对于一个普通的站点，这意味着如果一个已经登录的用户跟踪一个发布在公司讨论论坛或电子邮件上的网站链接，这个站点将不会收到 Cookie ，用户访问该站点还需要重新登陆。...相对地，如果用户在 A 站点提交了一个表单到 B站点（POST请求），那么用户的请求将被阻止，因为浏览器不允许使用 POST 方式将 Cookie 从A域发送到Ｂ域。...以下是 Chrome 80 和早期的 Chrome（77 以上）版本中开发者工具控制台的警告：在 Chrome 88 之前，您将能够使用策略还原为旧版 Cookie 行为。

4.1K4 0

这次不用再为调试环境的 HTTPS 协议发愁了

Chrome 正在计划禁止从非安全网站发起的私有网络请求，目的是保护用户免受针对专用网络上的路由器和其他设备的跨站点请求伪造 (CSRF) 攻击。...自 Chrome 94 版本，开始阻止来自不安全上下文（非 HTTPS 协议）的公共网站的私有网络请求。...但是这项更新却给广大开发者的本地开发和调试带来了很大的困扰，从私有设备（比如我们自己的本地调试环境）移到 HTTPS 协议还是挺困难的。...所以此项更新开始后，很多测试或者预发环境都开始报错，其实正是因为我们在这些环境中数据不安全的上下文（非 HTTPS 协议），但是却发起了私有网络请求（比如从测试环境发到本地调试服务器的请求）。...，也会强制执行预检。

3132 0

HTTP Strict Transport Security实战详解

，但细致分析，就会发现种通信模式也存在一个风险，那就是这个302重定向可能会被劫持篡改，如果被改成一个恶意的或者钓鱼的https站点，然后，你懂得，一旦落入钓鱼站点，数据还有安全可言吗？...上面是我自己的理解，下面是owasp中文站点关于hsts的描述： HSTS的作用是强制客户端（如浏览器）使用HTTPS与服务器创建连接。...HSTS可以很大程度上解决SSL剥离攻击，因为只要浏览器曾经与服务器创建过一次安全连接，之后浏览器会强制使用HTTPS，即使链接被换成了HTTP 另外，如果中间人使用自己的自签名证书来进行攻击，浏览器会给出警告...我们来把这个站点手动加入到chrome浏览器的hsts缓存中：在未清空chrome浏览器历史记录的前提下，我们再次访问这个站点：可以看到，一个307 响应码，这是chrome浏览器的内部转换，将http...测试2 我们先清空chrome浏览器的缓存，然后在浏览器的地址栏中键入 www.alipay.com 可以看到www.alipay.com(支付宝)这个站点并没有在chrome 浏览器的内置的preload

3K1 0

HTTP Strict Transport Security (HSTS) in ASP.NET Core

启用 HTTPS 还不够安全现在很多站点通过HTTPS对外提供服务，用户在访问某站点，往往会直接输入站点域名（baidu.com），而不是完整的HTTPS地址（https://www.baidu.com...将所有非安全请求重定向到安全URL是常规做法，但是中间人仍然可以在重定向发生前劫持连接。 ? 　　HSTS指示浏览器只能使用HTTPS访问域名，来处理潜在的中间人劫持风险。...HTTP连接）这一约定，浏览器将强制所有请求通过 HTTPS 浏览器阻止用户使用不安全/无效证书，会显示禁用提示（允许用户临时信任该证书）因为HSTS策略由客户端强制执行，有一些前置条件：客户端必须支持...HSTS的应对办法是在浏览器内置一个域名列表，这个列表内域名，浏览器都会使用HTTPS发起连接，这个列表由Chrome维护，主流浏览器均在使用。...HSTS网站指定子域使用HSTS协议, 或排除某些子域使用HSTS 设置浏览器缓存 [访问站点的请求均使用HTTPS协议] 这一约定的时间，默认是30天。

9002 0

解决 NET::ERR_CERT_DATE_INVALID 错误的 10 种方式

支持了 HTTPS 的站点(原文为安装了 SSL 证书)会让人用起来更安心。...Google Chrome 浏览器在 Chrome 中会指出你的连接不是私密的。可以通过点击高级(Advanced)，选择继续访问该站点，但是这样会有风险： ?...在连接信息上右键选择属性。然后，选择IP V4/V6，然后点击属性按钮。选择使用指定 DNS 服务器地址： ?...如果使用的是 Kinsta，那么在指示板上，可以很方便地安装免费的 Let’s Encrypt 证书。往往会自动进行更新，不需要使用者自己担心。...如果我们自己在自己的站点上看到这个错误，那么其他人可能也会遇到这个错误。由于这个错误有很多原因，我们为您提供了 10 种解决方案来尝试。你可以先尝试下刷新站点、校正本地时间。

85.9K2 0

Chrome 81 正式发布！消灭混合内容最后一步~

混合 HTTPS 内容早在上个版本（Chrome 80）的更新中我就介绍过了：是指通过 HTTP 和 HTTPS 加载图像、JavaScript 或样式表等内容的网页，这意味着该站点实际上并不完全通过...在 Chrome 80 中，混合的音频和视频资源将自动升级到 https://，如果它们无法通过 https:// 加载，则 Chrome 默认会阻止它们。...在 Chrome 81 中，混合的图像资源会自动升级到 https://，如果无法通过 https:// 加载，Chrome默认会阻止它们。...不安全的下载将被直接阻止从 Chrome 83 开始，不安全的下载将直接被阻止，和上面的混合内容更新一样，这个更新也是分步进行的，直到 Chrome 86 所有在安全页面上的不安全的下载将被全部阻止...处理公司库存的网站，公司站点和 Intranet 将能够读取数据或将数据写入容器或产品上的 NFC 标签，从而简化库存管理。会议现场可以使用它来扫描 NFC 标签。

2.4K5 1

【专业技术】谷歌浏览器命令行探索之旅

3 –allow-scripting-gallery 允许拓展脚本在官方应用中心生效。默认情况下，出于安全因素考虑这些脚本都会被阻止。...17 –disable-web-security 不强制遵守同源策略，供网站开发人员测试站点使用。 18 –disk-cache-dir 将缓存设置在给定的路径。...27 –no-displaying-insecure-content 默认情况下，https 页面允许从 http 链接引用图片/字体/框架。添加这一参数会阻止这些内容。...（也可以使用本地文件，如 –proxy-pac-url=”file:\\\c:\proxy.pac”） 33 –proxy-server 使用给定的代理服务器，这个参数只对 http 和 https 有效...对于 Windows 系统，简单来说就是：在快捷方式上右键，选择属性。

1.8K6 0

Web标准安全性研究：对某数字货币服务的授权渗透

将目光转向 Siacoin 让我们理论上的“预感”是，在浏览器内部执行的代码应该（原则上）能够与本地服务进行交互，并且只需运行它。...我们可以通过创建一个恶意网站来测试这一理论，该网站试图从他们的本地守护进程中请求受害者的钱包种子： ? 但是我们的请求被阻止了！发生了什么？显然，想通过浏览器攻击本地主机服务并不容易。...如果有，则浏览器将完全阻止该请求，如下所示： ? 相反，如果请求并未包含任何不安全的标头，则浏览器会将其转发到目标站点。这个“目标站点”现在可以选择告诉浏览器是否允许其他来源读取响应。...如果某个特定请求被标记为“safe（安全）”，则允许其传递到目标站点。尽管这些请求被标记为“安全”，但对于给定的应用程序来说，这些请求仍然会带来很大的安全风险。...受影响的浏览器从我们的测试来看，谷歌的Chrome是唯一一款能够在DNS重新绑定攻击时，阻止设置用户代理字段的主流浏览器。 ?

1.7K4 0

Google IO 2019，Chrome 有什么消息？

延迟加载是一种在加载页面时，延迟加载非关键资源的方法，这些非关键资源在需要时才进行加载。使用该机制，页面加载速度可以提升 18％-35％。 ? Chrome 75 默认启用延迟加载功能。...Portals 在 Chrome Canary 中开启 chrome://flags/#enable-portals 即可使用。...在本次 I/O 大会前面的分享场次上谷歌 CEO Sundar Pichai 已经演示了该功能，Sundar 要求 Duplex 帮助预订汽车租赁，于是它使用其拥有的信息自动填写了登录表格，包括姓名、地址...由于强制执行同源策略的代码，网站通常无法访问浏览器内不同站点之间的数据，但是网站代码如果存在安全漏洞，则可能被恶意网站绕过规则，达到攻击其它网站的目的。...同时它还可以阻止进程从其它站点接收某些类型的敏感数据。 SameSite cookies ? 这是一项 cookie 反跟踪技术。

7113 0

如何使用浏览器工具调试PWA

Chrome使用这个主题颜色来着色浏览器的一些UI部分，比如地址栏。可以使用meta标签来自定义每个页面的颜色，但是当应用从主屏启动时，在清单中指定的主题颜色提供站点范围的主题颜色。 ?...在桌面Chrome上，它会触发浏览器将应用添加到货架（shelf）。在移动设备上，它提示安装应用程序（将图标添加到主屏幕）: ?...Service Workers技术使得PWA可以离线工作，同时允许您拦截网络请求并使用Cache API在本地存储资源。 ? 通过此屏幕，您可以通过启用选项卡中离线复选框来强制离线模式： ?...此复选框才强制更新。绕过网络可以完全关闭Service Worker启用的缓存。当您希望从网络直接访问时，这会阻止应用程序使用缓存的资源。调试时也非常有用。...像Chrome一样，当用Cache API使用被“开发工具”的“网络”面板中的Service Worker缓存的资源时，在Transferred列下列出了『Service Worker』： ?

3.7K4 0

利用CSS注入（无iFrames）窃取CSRF令牌

使用这种方法，我仍然可以加载受害者的CSS，但我不再依赖于受害者是否允许iFrame。因为最初的弹出是通过用户事件触发的，所以我并没有被浏览器阻止。...这样，就可以确保我们在客户端的攻击100%的执行，并强制用户在10秒内点击链接执行CSRF攻击，演示如下： Demo 如上所述，因为我并不想运行一个web服务器，所以我使用service workers...接下来，我们将强制加载受害者的CSS，并且使用上述方法，可一次窃取（猜解）一个敏感字符。...在接收端，我已经定义了一个拦截请求的service worker，并通过post-message将它们发送回域，然后我们将token存储在本地存储中以供后续使用。...目前该测试仅支持CHROME：【阅读原文】如果你的浏览器支持的话，只需点击打开页面任意位置，你将看到CSRF token将逐一被猜解出来。

1.2K7 0

Chrome 83 发布，支持直接读写本地文件！新的跨域策略!

受新冠疫情影响，Chrome 稳定版本的更新直接跳过 v82 来到 Chrome 83，因此很多原本在 Chrome 82上就要正式发布的功能也悉数积攒到了本次更新的 Chrome 83 中。...并且 Chrome 83 也对 Cookie 管理提供了更多的选项：允许所有、隐身模式下阻止第三方 Cookie、阻止第三方 Cookie 以及阻止所有。对应的在隐身模式下也有切换面板可供选择。...你可以通过单击地址栏中的“眼睛”图标来允许特定站点使用第三方 Cookie。...这就导致每一个环节上的人都能随意修改你的链接。 DNS-over-HTTPS(简称DoH)的具体原理其实就是在DNS外面套一层HTTPS。...使用之后你的站点的 DNS 查询就变成了下面的过程：你的电脑 -> DoH服务器 -> DNS服务器 -> DoH服务器 -> 你的电脑以上流程中的一个箭头代表一个HTTPS加密链接，使得该过程中的所有流量皆受到强加密

1.9K2 0

Nginx配置各种响应头防止XSS,点击劫持,frame恶意攻击

大概有两种方式， # 一是攻击者使用一个透明的iframe，覆盖在一个网页上，然后诱使用户在该页面上进行操作，此时用户将在不知情的情况下点击透明的iframe页面； # 二是攻击者使用一张图片覆盖在网页...下面我们主要介绍如何通过响应头来使用 CSP，Chrome 扩展中 CSP 的使用可以参考 Chrome 官方文档。...302重定向可能会被劫持篡改，如果被改成一个恶意的或者钓鱼的https站点，然后，你懂得，一旦落入钓鱼站点，数据还有安全可言吗？...上面是我自己的理解，下面是owasp中文站点关于hsts的描述： HSTS的作用是强制客户端（如浏览器）使用HTTPS与服务器创建连接。...HSTS可以很大程度上解决SSL剥离攻击，因为只要浏览器曾经与服务器创建过一次安全连接，之后浏览器会强制使用HTTPS，即使链接被换成了HTTP 另外，如果中间人使用自己的自签名证书来进行攻击，浏览器会给出警告

4.4K5 0

js跨站脚本

%20word 本地使用web server for chrome 完成了本地静态服务器的搭建，使用host文件，强制修改home.abc.com 以及 abc.com 到 127.0.0.1 完成域名的绑定...已经自动暂停解析了，最后加上%3e被浏览器拦截，自动的，去掉以后，由于容错机制，自动生成好吧，要不是这容错机制，xss还没法实验呢。...好吧，去掉自动拦截，chrome直接禁止访问了。...David 因为使用这个url自动生成一个另外一个脚本，由于浏览器自动的安全措施，所以使用浏览器页面预解析，写一个不平衡的树，初始浏览器解析的时候自动添加上事实上...可以对该站点的内容做任何的操作，以及读取cookie，以及将数据发送回站点事实上浏览器插件就是这样干的，在页面中加入js脚本，通过更改页面的js来达到对页面修改的目的更多内容 https://www.ibm.com

2.8K4 0

为对抗制裁，俄罗斯决定自建TLS根证书

证书过期后，Google Chrome、Safari、Microsoft Edge 和 Mozilla Firefox 等 Web 浏览器将显示页面不安全的整页警告，这可能会使许多用户离开该站点。...俄罗斯公共服务门户网站 Gosuslugi 表示，如果国外安全证书被撤销或过期，那么俄罗斯的证书会取代它，该服务预计在五个工作日内上线，且全部免费。...据俄罗斯媒体报道，已经有198个单位收到了使用TSL证书的通知，但并不强制要求使用，俄罗斯中央银行、Sberbank、VTB已经率先开始使用CA颁发的TSL证书。...△ 俄罗斯可信根 CA 证书然而，这也给安全埋下了隐患，俄罗斯可能滥用其 CA 根证书来执行HTTPS 流量拦截和中间人攻击，并最终导致根证书被添加到证书撤销列表 (CRL) 中。...这将使这些证书无效，Chrome、Edge 和 Firefox 将阻止访问任何使用它们的网站。众所周知，证书颁发机构应该是普遍受信任的。

5701 0

当浏览器全面禁用三方 Cookie

，比如 SameSite SameSite 是 Chrome 51 版本为浏览器的 Cookie 新增的了一个属性， SameSite 阻止浏览器将此 Cookie 与跨站点请求一起发送。...例如，对于一个普通的站点，这意味着如果一个已经登录的用户跟踪一个发布在公司讨论论坛或电子邮件上的网站链接，这个站点将不会收到 Cookie ，用户访问该站点还需要重新登陆。...例如，一个用户在 A 站点点击了一个 B 站点（GET请求），而假如 B 站点使用了Samesite-cookies=Lax，那么用户可以正常登录 B 站点。...相对地，如果用户在 A 站点提交了一个表单到 B站点（POST请求），那么用户的请求将被阻止，因为浏览器不允许使用 POST 方式将 Cookie 从A域发送到Ｂ域。...即便你使用了代理，网站也能借此获取你真实的公共和本地IP地址。该插件可被用于泄漏你的本地 IP 地址或追踪媒体设备。

2.7K2 2

内网渗透 | Windows域的管理

卸载域控制器的注意事项确认所有域控制器都处于联机状态，确认还有其他域控制器承担着“全局编录”角色，在“Active Directory站点和服务”控制台中，查看并手工转移“全局编录”角色组策略应用...在一个域中，通过在域控服务器上配置组策略，来对域中的主机或域中的用户去设置策略组策略：Windows操作系统中的组策略是管理员为用户或计算机定义并控制程序、网络资源和操作系统行为的主要工具。...通过使用组策略可以对计算机或者用户设置相应的策略组策略的功能账户策略的设置本地策略的设置脚本的设置用户工作环境的设置软件的安装与删除限制软件运行文件夹的重定向限制访问可移动设备组策略优点...、域、OU 组策略的应用规则策略继承与阻止：下级容器可以继承或阻止应用其上级容器的GPO设置策略累加与冲突：多个GPO设置可以累加或发生冲突被覆盖策略强制生效：使下级容器强制执行其上级容器的GPO...OU上的策略如果同一个OU上链接了多个GPO，则按照链接顺序从高到低逐个应用策略强制生效：强制生效是上级容器强制下级容器执行其GPO设置筛选：筛选可以阻止一个GPO应用于容器内的特定计算机或用户

1.6K1 0

谷歌Chrome浏览器新功能亮相，可有效抵御黑客攻击

阻止对内部网络的不安全请求此次拟议的“专用网络访问保护”功能在初期阶段可能会误将一些合法的连接判定为恶意行为并加以阻拦，在Chrome 123中处于“仅警告”模式，在公共网站指导浏览器访问用户专用网络中的另一个站点之前进行检查...在谷歌提供的一个示例中，开发人员展示了一个公共网站上的 HTML iframe，它可以执行 CSRF 攻击，改变访问者本地网络路由器的 DNS 配置。...如果没有回应，连接将被阻止。如果内部设备做出回应，它就会使用 "Access-Control-Request-Private-Network"（访问控制请求-私人网络）标头告诉浏览器是否允许该请求。...这样向内部网络设备发出的请求就会被自动阻止，除非该设备明确允许从公共网站进行连接。在警告阶段，即使检查失败，该功能也不会阻止请求。...安全升级背后的理念这项开发的目的是防止互联网上的恶意网站利用用户内部网络中设备和服务器的漏洞，包括防止对用户路由器和本地设备上运行的软件界面进行未经授权的访问等等。

1651 0

详解 Cookie 新增的 SameParty 属性

在第一方Cookie 和第三方Cookie 被区别对待的情况下，Chrome 新推出了一个 First-Party Sets 策略，它可以允许由同一实体拥有的不同关域名都被视为第一方。...SameSite 的问题 Chrome 在之前的版本为 Cookie 新增了一个 SameSite 属性来限制三方 Cookie 的访问，在 Chrome 80 版本后 SameSite 的默认值被设定为...在 Strict 模式下，将阻止所有三方 Cookie 携带，这种设置基本可以阻止所有 CSRF 攻击，然而，它的友好性太差，即使是普通的 GET 请求它也不允许通过。...在 Lax 模式下只会阻止在使用危险 HTTP 方法进行请求携带的三方 Cookie，例如 POST 方式。同时，使用 JavaScript 脚本发起的请求也无法携带三方 Cookie。...First-Party Sets 提出了一种明确定义在同一主体下拥有和运营的多个站点关系的方法。比如 .tmall.com、taobao.com 都可以被定义为同一主体运营。

1K2 0

Web应用服务器安全：攻击、防护与检测

网站可以使用此功能，来确保自己网站的内容没有被嵌到别人的网站中去，也从而避免了点击劫持 (clickjacking) 的攻击。...强制用户使用HTTP严格传输安全（HTTP Strict Transport Security,HSTS）。 HSTS 是一套由 IETF 发布的互联网安全策略机制。...Chrome 和 Firefox 浏览器有一个内置的 HSTS 的主机列表，网站可以选择使用 HSTS 策略强制浏览器使用 HTTPS 协议与网站进行通信，以减少会话劫持风险。...我们必须确保用户从全 HTTPS 站点跳转到 HTTP 站点的时候，没有中间人可以嗅探出用户实际的 HTTPS URL，Referrer Policy 设置如下： //HAProxy http-response...Helme 贡献了一个非常棒的网站 https://securityheaders.io/，可以分析自己站点的Header(报文头)，并提出改进安全性的建议。

3.9K9 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭