我们希望“防止无意中释放或保留敏感信息(例如,在备份磁带上:))”,并计划使用 HTTP 标头 Cache-control: no-store。这样做有什么缺点?从规范来看,缓存似乎将继续运行 - 它只是不能使用非易失性存储。为了选择指定不存储的响应,我们有一些“敏感度”度量。我们应该使用什么平衡措施 - 换句话说,为什么不将所有页面标记为无存储?
通过使用存储,客户端拥有可以使用的本地缓存。此缓存可以提高性能并减少您自己服务器上的负载。
就您而言,我认为在没有缓存的情况下发送敏感页面是有意义的。
我相信 no-store 的另一个技术问题(这更是一个奇怪的副作用)是旧版本的 IE 在缓存关闭的情况下存在 Content-Disposition 标头的问题。该行为导致下载提示将无限期地显示 0% 进度。
关于无缓存策略的一个误解是浏览器实际上会遵守它而不是将其保存到磁盘。这是不正确的 - 许多现代浏览器实际上将所有响应缓存到磁盘(请参阅此SO https://stackoverflow.com/questions/15209514/firefox-no-cache-not-honored)。然而,这个缓存is在这些情况下加密。
总的来说,我认为这样做是安全的。确保您没有像 @Robert Harvy 所说的那样依赖此机制,一旦您将其发送出去,您就将受到浏览器保存方式的支配。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)