分兩種情況。

第一種是會發(fā)起一次 HTTP 以及一次 HTTPS：當(dāng)你訪問 HTTP URL，會發(fā)起一個普通的 HTTP 請求，服務(wù)器通過某些配置，會返回一個 301 狀態(tài)碼，并 Location 到對應(yīng)的 HTTPS URL 上。瀏覽器接著重定向，發(fā)起 HTTS 請求。需要補(bǔ)充的是，當(dāng)你后面再次訪問這個 HTTP 請求時，因?yàn)榇嬖跒g覽器緩存，可能直接在瀏覽器端就重定向了，這樣的話只有一個 TCP 請求。

不過由于 HTTP -> HTTPS 重定向的過程是存在安全隱患的，中間人可以以這個 HTTP 請求為突破口，讓你的 HTTPS 無用武之地。

因此大家搞了一個協(xié)議，叫做 Strict-Transport-Security (HSTS)。大致意思是如果服務(wù)器在 HTTPS 請求里返回了 Strict-Transport-Security 響應(yīng)頭，那么后面瀏覽器只能通過 HTTPS 請求訪問這個域名的 URL。如果用戶訪問了對應(yīng)的 HTTP URL，瀏覽器會自動切換到 HTTPS URL，只會有 443，沒有 80.

不過理論上這樣也有隱患，那就是第一次訪問某個域名，而且使用的又是 HTTP，瀏覽器沒有相應(yīng)的 HSTS 記錄，所以還是會發(fā)起一次 HTTP 請求，如果正好這個時候有中間人，就不安全了。所以 Chrome 等瀏覽器還會預(yù)置一批 HSTS 域名名單。

總結(jié)

以上是生活随笔為你收集整理的http切换到https的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。