浏览器是如何区分http和https协议的

浏览器的默认解析

我们在浏览器的地址栏中输入一个域名 taobao.com（不要按回车）， 然后将地址栏进行复制，粘贴到文本文件后，发现是 http://taobao.com/。

这是浏览器的默认解析，其主要是完成了两件事

1. 设置请求协议为 http 协议
2. 将端口号默认设置为为80端口。

302重定向功能

我们在浏览器中，无论是输入 taobao.com、 www.taobao.com还是http://www.taobao.com，最终都会显示https://www.taobao.com。

具体的实现过程: taobao.com 和 www.taobao.com 是不同的域名，淘宝会把相似的域名都买下来，都重定向到同一个域名下。

浏览器的默认解析与重定向功能的结合

已知: http默认端口是80，https默认端口是443。

很多网站都提供https服务，为了避免用户输入http导致访问80端口出现访问不通的情况，同时也是为了与http版本的网站兼容，服务器监听80端口，对所有的80端口的访问都定向到https的url，实现方式都多种，最简单的就是使用302重定向，

HSTS

HSTS详解

有不少网站只能通过HTTPS对外提供服务。但用户在访问某个网站的时候，在浏览器里却往往直接输入网站域名。览器依然能正确的使用HTTPS发起请求。这背后多亏了服务器和浏览器的协作

解决之道：使用HSTS

既然建立HTTPS连接之前的这一次HTTP明文请求和重定向有可能被攻击者劫持，那么解决这一问题的思路自然就变成了如何避免出现这样的HTTP请求。我们期望的浏览器行为是，当用户让浏览器发起HTTP请求的时候，浏览器将其转换为HTTPS请求，直接略过上述的HTTP请求和重定向，从而使得中间人攻击失效，以规避风险。其大致流程如下：



其过程分为三步

1. 用户在浏览器地址栏里输入网站域名，浏览器得知该域名应该使用HTTPS进行通信

2. 浏览器直接向网站发起HTTPS请求

3. 网站返回相应的内容

如何让浏览器直接发起https请求？

只要在服务器返回给浏览器的响应头中，增加 Strict-Transport-Security 这个 HTTP Header，例如：

trict-Transport-Security: max-age=31536000; includeSubDomains

就可以告诉浏览器，在接下来的31536000秒（1年）内，对于当前域名及其子域名的后续通信应该强制性的只使用HTTPS，直到超过有效期为止。

参考文献

1. https://blog.csdn.net/error311/article/details/108442249
2. https://blog.csdn.net/gui951753/article/details/82227800
3. https://zhuanlan.zhihu.com/p/25537440