不是私密链接，如何继续前往？

当我们使用代理访问某些网站的时候，经常会看到如下提示，点击继续前往就可以正常访问该网站了，那么为什么有些网站无法点击继续前往呢？可以看到浏览器的提示为“因为此网站使用了 HSTS”，那么什么是 HSTS 呢？

HSTS

HSTS 是 HTTP 严格传输安全（HTTP Strict Transport Security）的缩写。是一套由互联网工程任务组发布的互联网安全策略机制。网站可以选择使用 HSTS 策略，来让浏览器强制使用 HTTPS 与网站进行通信，以减少会话劫持风险。

HSTS 的作用是强制客户端、浏览器使用 HTTPS 协议与服务器创建连接，并无法忽略证书警告，这种强制使用 HTTPS 的方式是由浏览器执行的，而非服务端拒绝了本次请求。

当客户端通过 HTTPS 发出请求时，服务器可以在响应头中返回 Strict-Transport-Security 字段开启 HSTS。非加密传输时设置的 HSTS 字段无效。

一般来说，中间人使用自己的自签名证书来进行中间人攻击，浏览器会给出警告，但是许多用户会忽略警告，继续访问该站点。HSTS 解决了这一问题，一旦服务器发送了 HSTS 字段，将不再允许用户忽略警告。

用户首次访问某网站是不受 HSTS 保护的。这是因为首次访问时，浏览器还未收到 HSTS，所以仍有可能通过明文 HTTP 来访问。解决这个不足目前有两种方案，一是浏览器预置 HSTS 域名列表，Google Chrome、Firefox、Internet Explorer 和 Microsoft Edge 实现了这一方案。二是将 HSTS 信息加入到域名系统记录中，但这需要保证 DNS 的安全性，也就是需要部署域名系统安全扩展（DNSSEC）。

结论

部分网站通过响应头中设置 Strict-Transport-Security 字段开启了 HSTS，所以无法继续前往，这种浏览器拦截是在遵守 HSTS 策略。而其他网站可以继续访问是因为没有开启 HSTS。

怎么继续访问开启了 HSTS 的网站呢？

浏览器页面上直接敲键盘 thisisunsafe 浏览器会直接刷新，继续访问该网站。或者在 chrome://net-internals/#hsts 页面删除该域名 hsts 策略。