hsts(HTTP Strict Transport Security) ，主要是告诉浏览器强制将http换成https和服务器进行连接。

有时候我们只有一级域名支持https，其他二级域名和端口并不支持。当我们开启了hsts就比较麻烦的。

spring security默认会开启hsts，所以这时候需要关闭它。

http.headers().httpStrictTransportSecurity().disable();

网上的删除浏览器hsts的操作，相当于删除浏览器缓存，治标不治本，下次访问https的主站时，依然会启用hsts，所以前提一定要服务器不启用hsts。