所有网站人们都是习惯用 http 方式进入，那岂不是都存在被钓鱼的风险？尤其是银行网站

要钓什么呢，被定向到 https://jiade.com 大家也就发现了

楼主你不知道有个东西叫 HSTS 吗

你说的这个问题有解决方案，浏览器自己自带了一份 HSTS 列表，如果是列表里的网站，就会拒绝用 HTTP 协议加载

其他的不在列表里的站就把 HTTP 页面做个 302 ，然后发 HSTS 头给浏览器，这样以后浏览器也会强制 HTTPS 访问。不过第一次也还是有被截胡的可能

总之有办法，不过不完美

@ixiaozhi 比如交通银行主页 www.bankcomm.com ，是明文的，那么我可以把里面某些菜单的 url 替换了，比如网银登录，然后弹出的页面是个像极了网银的页面，然后就可以获得用户名密码了

@processzzp HSTS 只在首次访问有效网站后才生效，假如第一次就被钓鱼了呢？假如用户使用的浏览器不支持 HSTS 呢？

@tony1016
1. 不支持 HSTS 的浏览器（如果有的话）已经是老古董了吧。这个牛角尖没必要钻，不然万一有个浏览器不支持 TLS 呢（笑
2. 确实存在你说的问题，然而这套系统也不是我设计的，要完美的解决这个问题，臣妾做不到啊😆😆😆我只不过是解释一下这是怎么工作的

而且，我上面也说过了，楼主的问题。是有解决方案的，但是这个方案不完美，有被截胡的可能
就酱

@processzzp well ，看起来浏览器支持真心不全
Browser
Support Introduced
Internet Explorer
Internet Explorer 11 on Windows 8.1 and Windows 7[2]
Firefox
4
Opera
12
Safari
Mavericks (Mac OS X 10.9)
Chrome
4.0.211.0

我是银行做安全的，连 IE 6 都是不抛弃不放弃

所以我装了 https everywhere