如何从 Google Chrome 的 HSTS 列表中永久排除 localhost

您可以按照此处的解决方案进行操作。

当 Google Chrome 不断将您的本地主机网址从

http://localhost

https://localhost

1. 打开开发者工具面板 (CTRL+SHIFT+I)
2. 单击并按住重新加载图标
3. 将打开一个菜单
4. 从此菜单中选择第三个选项（“清空缓存并硬重新加载”）

更新：

如果您愿意的话，您可以免费为这些域安装合适的 SSL 证书，这样您就不需要浪费 HSTS 的麻烦。看看这里。

您可以编辑系统的主机文件：

• 在 Windows 上：

  C:\Windows\System32\drivers\etc\hosts

• 在 Linux 上：

  /etc/hosts

您可以在其中为每个项目定义不同的域：

 127.0.0.1    project1.local
 127.0.0.1    project2.local
 127.0.0.1    projectN.local

注意：我使用 *.local 域（您几乎可以使用任何域），因为您已经将 localhost 设置为重定向到 https，因此我们必须使用不同的域。尽管我强烈建议您安装真正的 SSL 证书并将您对 HSTS 所做的任何修改重置为默认值。

保存后，当您在任何浏览器中导航到这些域时，它将从

127.0.0.1

当然，您必须为新域的这些项目重新颁发您可能拥有的任何证书，但这些证书对于每个项目都是唯一的。在 Chrome 上，对于没有证书的项目，您不需要为每个域多次搞乱网络内部（对于那些有证书的项目，则为 0 次）。

Chrome 78 支持名为 HSTSPolicyBypassList 的策略。您可以将“localhost”列为域以绕过 HSTS。 要在 Linux 上配置 Chrome 策略，只需在 /etc/opt/chrome/policies/management/policies.json 中创建一个包含以下内容的文件：

{
    "HSTSPolicyBypassList": [
        "localhost"
        ]
}

您可以在地址栏输入 chrome://policy/ 来查看 Chrome 加载的策略。

不是永久修复（可能涉及安全问题）

我找到了“修复”。一些有趣的事情，但不能永久修复，因为它可能会导致多个安全问题。

这就是我所做的：

1. 打开谷歌浏览器
2. 在搜索栏中输入

   chrome://flags/#allow-insecure-localhost

3. 已启用

   Allow invalid certificates for resources loaded from localhost.

如果您重新加载应用程序，警告应该会消失。

PS 我这样做是因为我需要重新创建认证但没有时间。这就是我这样做的原因。当我的认证在本地运行时，我会关闭此功能。

我厌倦了从 chrome://net-internals/#hsts 删除

localhost

HSTSPolicyBypassList

CertificateTransparencyEnforcementDisabledForURLs

这里是一个存储库，其中包含配置策略的 macOS 可安装配置文件，以及有关

defaults write com.google.Chrome HSTSPolicyBypassList -string "localhost"

此外，chrome://flags/#allow-insecure-localhost 和 https://chromedevtools.github.io/devtools-protocol/tot/Security/#method-setIgnoreCertificateErrors 对于经常使用此工具的人来说可能会很有趣，或者在无头环境中。我已经在上述存储库中添加了我能找到的与此相关的任何内容的链接。欢迎 PR！

对于 Brave Windows 用户，您需要通过注册表编辑器在

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\BraveSoftware\Brave\HSTSPolicyBypassList

100

localhost

您可以验证它是否在brave://policy 下运行。