问题复现
- 先访问
https://a.com, 该网页JS会请求https://api.a.com接口 - 再访问
http://a.com, 该网页JS会请求http://api.a.com,但是查看网络请求发现,http://api.a.com被强制307到了https://api.a.com
经过排查发现,这是命中了浏览器的HSTS策略,即:
一切能通过https访问的网址,都用https来访问
「能通过https访问的网址」怎么定义呢?那就是你曾经访问过该网址的https链接。
- (当然可以通过清除浏览器历史记录来骗过浏览器,但你的用户可能不知道这个操作)
问题解决
- server端重定向用户访问的
http链接到https - 如果必须允许用户访问
http链接,则服务端接口针对80端口请求做跨域支持,因为跨端口也是跨域
307从何而来,是个什么东西呢
经过使用chrome://net-internals/追踪发现,是浏览器自己返回的:
URL_REQUEST_REDIRECT_JOB --> reason = "HSTS" t=24613 [st= 2] URL_REQUEST_FAKE_RESPONSE_HEADERS_CREATED --> HTTP/1.1 307 Internal Redirect Location: https://api.a.com Non-Authoritative-Reason: HSTS Access-Control-Allow-Origin: http://api.a.com Access-Control-Allow-Credentials: true
【参考的文章链接】 https://xwenliang.cn/p/5be6e275469f887b71000001