發現可高速緩存的 SSL 頁面
技術描述:
缺省情況下,大部分 Web 瀏覽器都配置成會在使用期間高速緩存用戶的頁面。 這表示也會高速緩存 SSL 頁面。不建議讓 Web 瀏覽器保存任何 SSL 信息,因為當有漏洞存在時,可能會危及這個信息。
安全風險:
可能會收集有關 Web 應用程序的敏感信息,如用戶名、密碼、機器名和/或敏感文件位置,一般
在所有 SSL 頁面及含有敏感數據的所有頁面上,禁用高速緩存。通過使用你您 SSL 頁面標題中的“Cache-Control: no-store”和“Pragma: no-cache”或“Cache-Control: no-cache”響應偽指令來實現此操作。
Cache-Control: private
此偽指令可向代理指示某個頁面中包含私有信息,因此不能由共享高速緩存進行高速緩存。但是,它不會指示瀏覽器阻止高速緩存此頁面。
Cache-Control:no-cache
此偽指令也可向代理指示某個頁面中包含私有信息,因此不能高速緩存。它還會指示瀏覽器重新驗證服務器以檢查是否有新的版本可用。這意味着瀏覽器可能會存儲敏感頁面或要在重新驗證中使用的信息。某些瀏覽器不一定會跟蹤 RFC,因此可能會將 no-cache 視為 no-store。
Cache-Control:no-store
這是最安全的偽指令。它同時指示代理和瀏覽器不要高速緩存此頁面或將其存儲為它們的高速緩存文件夾。
Pragma: no-cache
對於不支持高速緩存控制標題的較舊瀏覽器,該偽指令是必需的。