位置:首页 > 行业软件 > 火狐开发者工具绕过HSTS强制跳转限制

火狐开发者工具绕过HSTS强制跳转限制

时间:2026-06-28  |  作者:318050  |  阅读:0

火狐浏览器访问 HTTP 网址时,突然被自动跳转到 HTTPS,地址栏还冒出“您的连接不是私密连接”或者直接白屏。这个问题其实不罕见。

根源在于目标域名通过 Strict-Transport-Security 响应头向浏览器注册了强制 HTTPS 策略。这条策略被写入本地 HSTS 预加载列表后,普通的刷新操作根本清不掉。想要恢复 HTTP 访问,手动清理缓存是唯一办法。

清除当前域名的 HSTS 缓存记录

第一步:进入配置页面

在火狐地址栏输入 about:config,点击“我接受风险并继续”。

第二步:确认环境加载

在搜索框输入 network.http.speculative-parallel-limit。这一步只是为了确认配置环境已加载,不用改任何值。

第三步:打开 HSTS 管理器

先关闭所有包含目标域名的标签页。然后在新空白标签中输入 chrome://pippki/content/hsst.html

第四步:删除目标域名

页面顶部会显示“HSTS 状态管理器”。在下方输入框中填入你要绕过的域名(比如 example.com),点击“删除”按钮。

如果提示“未找到匹配项”,说明该域名还没被 HSTS 策略持久化。跳转行为其实是服务器端的 Location 重定向,跟浏览器 HSTS 机制无关。

临时禁用 HSTS 策略生效逻辑

方法一:通过 about:config 关闭 HSTS 强制执行开关

在地址栏输入 about:config,搜索 security.ssl.enable_ocsp_stapling,双击设为 false

这个操作不会影响证书验证,但会削弱 HSTS 策略的实时校验强度,算是一种临时“绕行”。

方法二:注入覆盖式 HSTS 策略清除指令

打开目标 HTTP 页面,按 Ctrl+Shift+I 打开开发者工具,切换到“控制台”面板。输入以下命令后回车:

document.location = 'http://' + document.domain + document.location.pathname + document.location.search;

这行代码会强行把当前 HTTPS 页面重定向回 HTTP 协议,但只对当前会话有效。如果页面里还藏着 meta refresh 或 JS location.replace 调用,需要同步执行下一步。

永久移除 HSTS 预加载列表中的域名

第一步:彻底退出火狐浏览器

注意右下角任务栏里的残留进程也要一并关掉。

第二步:定位配置目录

  • Windows:%APPDATA%MozillaFirefoxProfiles*.default-release
  • macOS:~/Library/Application Support/Firefox/Profiles/*.default-release/
  • Linux:~/.mozilla/firefox/*.default-release/

第三步:编辑 HSTS 存储文件

找到并用文本编辑器打开 SiteSecurityServiceState.txt 文件。

第四步:删除目标域名记录

查找包含目标域名的整行内容(格式类似 example.com 1 0 1672531200000 1672531200000),删除该整行,然后保存文件。

第五步:重启浏览器

重新启动火狐浏览器。这时再访问 http://example.com,就不会被强制跳转到 HTTPS 了。

来源:整理自互联网
免责声明:文中图文均来自网络,如有侵权请联系删除,心愿游戏发布此文仅为传递信息,不代表心愿游戏认同其观点或证实其描述。

相关文章

更多

精选合集

更多

大家都在玩

热门话题

大家都在看

更多