浏览器缓存静态内容不是很方便吗?
Isn't advantageous for a browser to cache static content?
我一直在做一些 OWASP 测试,其中一个低级别威胁是:
Low (Medium) Incomplete or No Cache-control and Pragma HTTP Header Set
Description
The cache-control and pragma HTTP header have not been set properly or are missing allowing the browser and proxies to cache content.
URL
<redacted url>
Evidence
public, must-revalidate, proxy-revalidate
OWASP 的建议是防止内容被缓存...但这没有任何意义。如果某些内容被浏览器缓存,我认为它有助于提高页面加载速度?此外,缓存静态内容如何构成安全威胁?
有利于性能。
如果这些页面包含敏感信息,则不利于安全。如果未设置这些 headers,那么即使您退出网站,有权访问您计算机的人也可以通过使用 'back' 按钮从您的历史记录中访问这些页面。中间代理也可以缓存页面。安全完全取决于上下文 - 如果那里没有敏感信息,那么这不是问题。
我一直在做一些 OWASP 测试,其中一个低级别威胁是:
Low (Medium) Incomplete or No Cache-control and Pragma HTTP Header Set
Description
The cache-control and pragma HTTP header have not been set properly or are missing allowing the browser and proxies to cache content.
URL
<redacted url>
Evidence
public, must-revalidate, proxy-revalidate
OWASP 的建议是防止内容被缓存...但这没有任何意义。如果某些内容被浏览器缓存,我认为它有助于提高页面加载速度?此外,缓存静态内容如何构成安全威胁?
有利于性能。
如果这些页面包含敏感信息,则不利于安全。如果未设置这些 headers,那么即使您退出网站,有权访问您计算机的人也可以通过使用 'back' 按钮从您的历史记录中访问这些页面。中间代理也可以缓存页面。安全完全取决于上下文 - 如果那里没有敏感信息,那么这不是问题。