如何解决是否有必要为 Web 应用程序中的所有页面包含 Cache-Control 标头?
在我们的应用程序中,我们没有为响应设置 Cache-Control 和 Pragma 标头,并且 Owasp 扫描正在抛出 不完整或无缓存控制和 Pragma HTTP Header Set 并建议设置这些参数,我不确定早期的开发人员是否有意没有设置它以提高客户端浏览器的性能。是否有必要设置这些参数在服务器端响应以克服 Owasp 漏洞,或者我们可以将其作为错误发现?
解决方法
这似乎是一个 warning from ZAP:
尽可能确保缓存控制 HTTP 标头设置为 no-cache、no-store、must-revalidate;并且 pragma HTTP 标头设置为无缓存。
一般来说,这不是值得遵循的好建议。阻止浏览器缓存 has performance downsides,不能保证生效,可能会增加服务器负载。
对于包含敏感数据的特定页面,您可能希望阻止缓存; How secure page browser cache vulnerability makes web application in secure? 说明了您可能希望这样做的原因,而 How do we control web page caching,across all browsers? 说明了如何操作。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。