我被告知要防止用户信息泄漏,仅“ no-cache”响应是不够的。“无存储”也是必要的。
Cache-Control: no-cache, no-store
在阅读了该规范http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.html之后,我仍然不太确定为什么。
我目前的理解是,它仅适用于中间缓存服务器。即使响应“无缓存”,中间缓存服务器仍可以将内容保存到非易失性存储中。中间缓存服务器将决定是否将保存的内容用于后续请求。但是,如果响应中包含“ no-store”,则不应将中间缓存服务器存储为内容。因此,它更安全。
还有其他原因同时需要“无缓存”和“无存储”吗?
Answers:
我必须澄清,no-cache这并不意味着不缓存。实际上,这意味着在每个请求上使用您可能拥有的任何缓存响应之前,都要“使用服务器重新验证”。
must-revalidate另一方面,仅在资源被视为过时时才需要重新验证。
如果服务器说资源仍然有效,则高速缓存可以使用其表示来响应,从而减轻了服务器重新发送整个资源的需要。
no-store是完全不缓存指令,旨在防止以任何形式的缓存存储表示。
我什么都说,但是请在RFC 2616 HTTP规范中注意这一点:
历史缓冲区可以将此类响应存储为其正常操作的一部分
但这是新版RFC 7234 HTTP规范中省略的,可能会试图变得no-store更强大,请参见:
Cache-Control: no-store不够吗
no-store并描述no-cache它根本不进行缓存...。我很困惑!
在某些情况下,即使Cache-Control: no-cache在响应头中,IE6仍将缓存文件。
如果no-cache指令未指定字段名,则在未经原始服务器成功重新验证的情况下,缓存不得使用响应来满足后续请求。
在我的应用程序中,如果您访问了带有no-cache页眉的页面,然后注销,然后在浏览器中返回,则IE6仍会从缓存中获取页面(无需向服务器发送新的/验证请求)。在no-store标题中添加阻止它这样做。但是,如果您信奉W3C,实际上就无法控制这种行为:
历史缓冲区可以将此类响应存储为其正常操作的一部分。
no-store。否则,当使用“后退”按钮时,Chrome浏览器将显示缓存/缓冲的数据。
no-cache标头的响应是不正确的。紧随其后的W3C报价清楚表明情况并非如此。相反,no-cache标头仅意味着响应必须被重新验证,然后才能重新用于响应后续请求。
根据HTTP 1.1规范:
没有商店:
没有商店的目的指令是为了防止敏感信息的意外释放或保留(例如,在备份磁带上)。no-store指令适用于整个消息,可以在响应或请求中发送。如果在请求中发送,则缓存不得存储该请求或其任何响应的任何部分。如果在响应中发送,则缓存不得存储该响应或引起它的请求的任何部分。该指令适用于非共享和共享缓存。在这种情况下,“不得存储”表示缓存不得在非易失性存储中有意存储信息,并且必须尽最大努力在转发信息后尽快从易失性存储中删除信息。即使该指令与响应相关联,用户可以在缓存系统外部显式存储这样的响应(例如,使用“另存为”对话框)。历史缓冲区可以将此类响应存储为其正常操作的一部分。该指令的目的是满足某些用户和服务作者的要求,这些用户和服务作者担心通过意外访问缓存数据结构而意外释放信息。尽管在某些情况下使用此指令可能会改善隐私,但是我们提醒您,它绝对不是确保隐私的可靠或充分的机制。尤其是,恶意的或受损的缓存可能无法识别或遵守此指令,并且通信网络可能容易受到窃听。历史缓冲区可以将此类响应存储为其正常操作的一部分。该指令的目的是满足某些用户和服务作者的要求,这些用户和服务作者担心通过意外访问缓存数据结构而意外释放信息。尽管在某些情况下使用此指令可能会改善隐私,但是我们提醒您,它绝对不是确保隐私的可靠或充分的机制。尤其是,恶意的或受损的缓存可能无法识别或遵守此指令,并且通信网络可能容易受到窃听。历史缓冲区可以将此类响应存储为其正常操作的一部分。该指令的目的是满足某些用户和服务作者的要求,这些用户和服务作者担心通过意外访问缓存数据结构而意外释放信息。尽管在某些情况下使用此指令可能会改善隐私,但是我们提醒您,它绝对不是确保隐私的可靠或充分的机制。尤其是,恶意的或受损的缓存可能无法识别或遵守此指令,并且通信网络可能容易受到窃听。尽管在某些情况下使用此指令可能会改善隐私,但是我们提醒您,它绝对不是确保隐私的可靠或充分的机制。尤其是,恶意的或受损的缓存可能无法识别或遵守此指令,并且通信网络可能容易受到窃听。尽管在某些情况下使用此指令可能会改善隐私,但是我们提醒您,它绝对不是确保隐私的可靠或充分的机制。尤其是,恶意的或受损的缓存可能无法识别或遵守此指令,并且通信网络可能容易受到窃听。
no-cache并max-age=0说该商品被认为是陈旧的。这意味着在投放之前必须对其进行重新验证。这意味着缓存可以存储文件,然后执行服务器可以响应的条件请求304 NOT MODIFIED。这显然是一个巨大的优势,因为不需要生成和发送响应的正文。因此,要利用许多(大多数?)缓存,将存储no-cache响应。
如果要防止所有缓存(例如,使用“后退”按钮时强制重新加载),则需要:
IE的无缓存
Firefox的无店
这里有我的信息:
http://blog.httpwatch.com/2008/10/15/two-important-differences-between-firefox-and-ie-caching/
no-store在正常情况下应该没有必要,它会损害速度和可用性。它适用于HTTP响应包含如此敏感的信息的情况,无论它对用户造成了什么负面影响,都绝对不应将其完全写入磁盘缓存。
这个怎么运作:
通常,即使诸如浏览器之类的用户代理确定不应缓存响应,由于用户代理内部的原因,它仍可能将其存储到磁盘缓存中。此版本可用于“查看源代码”,“后退”,“页面信息”等功能,在这些功能中,用户不一定要再次请求页面,但浏览器不会将其视为新的页面视图并且提供与用户当前正在查看的相同版本是有意义的。
使用no-store将阻止存储该响应,但是这可能会影响浏览器提供“视图源”,“后退”,“页面信息”等的能力,而无需对服务器提出新的单独请求,这是不希望的。换句话说,用户可以尝试查看源,并且如果浏览器没有将其保存在内存中,系统将告知他们这是不可能的,否则将导致对服务器的新请求。因此,no-store仅应在确保内容不存储在缓存中的重要性超过了这些功能无法正常或快速运行的受阻碍的用户体验时使用。
我目前的理解是,它仅适用于中间缓存服务器。即使响应“无缓存”,中间缓存服务器仍可以将内容保存到非易失性存储中。
这是不正确的。与HTTP 1.1兼容的中间缓存服务器将遵循no-cache和must-revalidate指令,以确保不缓存内容。使用这些指令将确保任何中间缓存都不会缓存响应,并且将所有后续请求发送回原始服务器。
如果中间缓存服务器不支持HTTP 1.1,那么您将需要使用Pragma: no-cache并希望达到最佳效果。请注意,如果它不支持HTTP 1.1,则no-store无论如何都没有关系。
no-cache在不牺牲高速缓存所有好处的情况下,可以保持严格的新鲜度,这意味着如果服务器响应304 Not Modified,则高速缓存将被存储并再次使用。
如果缓存系统正确地实现了无存储,那么您就不需要无缓存。但并非全部。此外,某些浏览器实现了无缓存,就像没有存储一样。因此,虽然没有严格要求,但同时包含这两种方法可能是最安全的。
请注意,从版本5到版本8的Internet Explorer在尝试下载通过https和服务器发送Cache-Control: no-cache或Pragma: no-cache标头提供的文件时将引发错误。
请参阅http://support.microsoft.com/kb/812935/en-us
使用Cache-Control: no-store和Pragma: private似乎是最有效的方法。
为了使事情变得更糟,在某些情况下,无法使用无缓存,但无存储可以:
http://faindu.wordpress.com/2008/04/18/ie7-ssl-xml-flex-error-2032-stream-error/
OWASP对此进行了讨论:
cache-control指令之间的区别是:no-cache和no-store?
响应中的no-cache指令指示不得将响应用于响应后续请求,即,高速缓存不得显示在标头中设置了该指令的响应,而必须让服务器为请求提供服务。no-cache指令可以包含一些字段名称;在这种情况下,可以从缓存中显示响应,但应从服务器提供服务的指定字段名称除外。no-store指令适用于整个消息,它指示高速缓存不得存储响应的任何部分或任何要求它的请求。
这些指令对我完全安全吗?
否。但是,通常,除了Expires:0(或具有足够回溯性的GMT日期(例如UNIX时代))外,请同时使用Cache-Control:no-cache,no-store和Pragma:no-cache。即使设置了上述缓存控制指令,非pdf内容类型(例如pdf,word文档,excel电子表格等)也经常会被缓存(尽管这会因版本而异,并且必须使用必须重新验证,pre-check = 0,post-check)实际上,由于浏览器的怪癖和HTTP实现,在某些情况下,= 0,max-age = 0和s-maxage = 0有时至少会导致关闭浏览器时删除文件。同样,“自动完成”功能允许浏览器缓存用户在表单输入字段中键入的内容。为此,表单标签或单个输入标签应包含“ Autocomplete =“ Off”'属性。然而,
来源在这里。
no-cache说您不使用服务器验证就无法使用它。如果缓存的副本仍然良好,则服务器将回复304,然后您可以使用缓存的副本。为您节省了潜在的大量网络下载。 no-store另一方面说您根本不可以缓存数据。
no-cache并不意味着您认为的那样。实际上,它的意思是“请重新验证”。