Chrome可通过四种方法强制启用HTTPS:一、启用内置HTTPS-First模式;二、安装HTTPS Everywhere扩展;三、利用HSTS预加载及手动添加域名;四、通过本地策略文件启用HTTPS-only模式。
如果您在使用Chrome浏览器访问网站时,希望确保所有连接都通过加密的HTTPS协议进行,避免被劫持或监听,则可以通过配置浏览器策略或扩展来强制启用HTTPS。以下是实现此目标的具体方法:
一、启用Chrome内置的HTTPS-First模式
Chrome 100版本起引入了实验性HTTPS-First模式,该模式会优先尝试以HTTPS协议加载网站,若失败再回退至HTTP,从而提升默认连接安全性。
1、在Chrome地址栏输入 chrome://flags/#https-first-mode 并按回车键。
2、在搜索框中输入“HTTPS-First”定位到对应实验性功能。
3、将下拉菜单从“Default”更改为Enabled。
4、点击页面右下角的Relaunch按钮重启浏览器。
二、安装并配置HTTPS Everywhere扩展
HTTPS Everywhere是由电子前哨基金会(EFF)开发的开源扩展,它内置数千条规则,可自动将HTTP请求重写为HTTPS,覆盖大量常见网站及子域名。
1、访问Chrome网上应用店,搜索HTTPS Everywhere并点击“添加至Chrome”。
2、安装完成后,点击地址栏右侧的盾牌图标,确认扩展状态为启用。
3、右键点击该图标,选择“选项”,在规则列表中勾选Enable all rulesets以启用全部重写规则。
4、如需自定义,可在“Manage Rulesets”中手动启用或禁用特定网站规则。
三、通过本地Hosts文件配合HSTS预加载机制增强强制跳转
HSTS(HTTP Strict Transport Security)是一种响应头机制,一旦网站向浏览器声明了HSTS策略且被接受,Chrome将在指定时间内拒绝任何HTTP请求。利用Chrome的HSTS预加载列表可使部分主流网站默认启用该策略。
1、访问chrome://net-internals/#hsts 页面。
2、在“Query domain”输入框中输入目标域名(如 example.com),点击“Query”确认是否已预加载HSTS策略。
3、若未预加载但该网站支持HSTS,可手动添加:在“Add domain”输入框中填入域名,勾选Include subdomains和Redirect to HTTPS,再点击“Add”。
4、刷新页面后,对该域名的所有HTTP请求将被Chrome自动重定向至HTTPS。
四、部署本地策略强制全域HTTPS(适用于企业或高级用户)
通过修改Chrome的本地策略文件,可全局启用HTTPS-only模式,使所有HTTP资源加载均被阻止,仅允许HTTPS连接,适用于高安全要求环境。
1、关闭所有Chrome进程,包括后台任务。
2、定位Chrome策略目录:Windows路径为 %LOCALAPPDATA%\Google\Chrome\User Data\Local State;macOS路径为 ~/Library/Preferences/com.google.Chrome.plist;Linux路径为 ~/.config/google-chrome/Local State。
3、编辑该文件,在顶层JSON对象中插入键值对:"profile.https_only_mode_enabled": true。
4、保存文件并重新启动Chrome,此时浏览器将拒绝所有非HTTPS网页资源加载,并显示“Not Secure”警告页。
