С политикой HSTS я столкнулся, когда публиковал в глобальную сеть сервер с самоподписанным сертификатом. Во время тестирования один из трёх браузеров запретил мне переход на страницу сервера:
Разумеется, проблему можно было бы решить прикручиванием приличного сертификата, но это уже совсем другая история. Сейчас же попробуем разблокировать сайт и перейти на него.
Для разных браузеров на основе Chromium предусмотрены свои команды для перехода к страничке настроек политики безопасности домена.
chrome://net-internals/#hsts
browser://net-internals/#hsts
edge://net-internals/#hsts
Хотя можно воспользоваться и общей командой для всех вышеуказанных браузеров:
about://net-internals/#hsts
После открытия страницы редактора политики нужно удалить домен из правил безопасности. Для этого вносим доменное имя в текстовое поле Domain в сегменте Delete domain security policies и нажимаем Delete.
Обновляем страницу проблемного сайта и радуемся появившейся кнопке Сделать исключение для этого сайта:
В разных браузерах текст этой кнопки может отличаться. Думаю, что разберётесь.
Теперь всё наоборот — добавим домен в политику безопасности браузера. Для этого нужно ввести доменное имя в текстовое поле Domain раздела Add HSTS Domain и нажать Add. Перед тем как нажать Add, можно прокрыжить и пункт с добавлением поддоменов — Include subdomain for STS.
Раздел Query HSTS/PKP domain отвечает за опрос доменного имени на наличие HSTS-заголовков сайта и их соответствия всем необходимым требованиям. А вот во время добавления сайта в политики безопасности опрос проводится автоматически.
