国家高新技术企业
服务热线:400-6688-605
为什么网站正常使用浏览器打开网站却提示404?
发布来源:大鹏网络
发布时间:2026-06-26 15:21

今天遇到客户一大早就联系我说网站打不开了,我排查了一下网站是正常的,但是客户却说他打开是404,今天我们就来深入了解一下这是什么问题造成的。

先说结论:其实这是浏览器强制 HTTPS (HSTS) 策略导致的。那我们就来了解一下这个强制https策略的知识。

在当今的互联网环境中,HTTPS早已成为网站安全的基石。然而,仅仅部署HTTPS证书并不足以完全消除安全风险——用户在首次访问或手动输入HTTP地址时,依然存在一个容易被忽视的安全缺口。HTTP严格传输安全(HSTS)正是为解决这一问题而设计的Web安全机制。


什么是HSTS?

HSTS全称HTTP Strict Transport Security,是一种由国际互联网工程组织IETF于2012年通过RFC 6797正式推出的Web安全协议。它的核心作用是强制浏览器仅使用HTTPS协议与网站建立连接,从而彻底杜绝通过不安全的HTTP协议进行通信的可能性。


当网站启用了HSTS后,服务器会在HTTPS响应中添加一个特定的HTTP头部——Strict-Transport-Security。浏览器收到这个头部后,会在指定的时间内记住该规则,之后所有对该域名的访问请求都会被自动转换为HTTPS。


为什么需要HSTS?

在HSTS诞生之前,即使网站配置了HTTPS,用户仍然可能面临安全风险。典型的攻击场景是这样的:


你在机场连接了一个免费Wi-Fi,想要登录网上银行。你输入了银行网址,但黑客伪装成Wi-Fi接入点,拦截了你的HTTP请求,并将你重定向到一个与真实银行网站一模一样的钓鱼网站。你的账户信息就这样暴露了。


这种攻击利用了初始HTTP连接的漏洞。虽然网站可能配置了301重定向将HTTP请求跳转到HTTPS,但在重定向发生之前,第一次HTTP请求本身已经是明文传输的,攻击者完全有机会在此环节发起中间人攻击。


HSTS正是为了解决这个问题而生。它让浏览器在连接建立之前就知道必须使用HTTPS,从而消除了这个安全隐患。


HSTS的工作原理

HSTS的工作机制可以概括为以下几个关键步骤:


1. 首次安全访问

用户首次通过HTTPS访问一个启用了HSTS的网站时,服务器会在响应头中返回Strict-Transport-Security头部。

2. 浏览器记录策略

浏览器收到该头部后,会将这条策略缓存起来。在max-age指定的时间内(上例为31536000秒,即1年),浏览器会记住该网站必须使用HTTPS访问。


3. 自动强制HTTPS

在缓存有效期内,即使用户在地址栏输入http://example.com,浏览器也会自动将请求转换为https://example.com,根本不会发送不安全的HTTP请求到网络上。


4. 策略续期

每次用户通过HTTPS访问时,服务器都会重新发送HSTS头部,刷新过期时间。只要网站在过期前持续发送该头部,HSTS策略就可以无限期维持下去。

最后总结

HSTS是提升网站安全等级的重要机制。它通过在浏览器端强制执行HTTPS,从根本上消除了初始HTTP连接被攻击的风险。对于涉及用户登录、支付交易或敏感数据的网站,配置HSTS并建议提交预加载列表,是保障数据传输安全的必要措施。所以有可能的话还是给网站购买安装ssl证书,这样就不会再出现打开网站404的情况了。