Firefox 将HSTS数据存储在一个名为SiteSecurityServiceState.txt.
这带来了两个严重的问题:
它为跟踪创造了机会。见http://www.radicalresearch.co.uk/lab/hstssupercookies
它通过留下用户访问的许多安全站点的纯文本列表来创建隐私问题,即使他们已经清除了浏览器的缓存和历史记录。
由于这些问题,许多人选择SiteSecurityServiceState.txt通过创建一个具有该名称的零字节文件并将其标记为只读来创建一个虚拟文件。
此技术可防止 Firefox 将任何内容写入SiteSecurityServiceState.txt.
显然,这阻止了HSTS的会话间优势(意味着一个 Firefox 会话受益于下一个会话),因为没有数据持续存在。但是这种技术是否会阻止HSTS的会话内好处(意味着单个 Firefox 会话中的好处)?
顺便说一句,其他主要浏览器也存在同样的问题。但是为了保持答案的重点,这个问题只涉及 Firefox 浏览器。