I browser Web memorizzeranno nella cache il contenuto su https

245

I contenuti richiesti tramite https verranno comunque memorizzati nella cache dai browser Web o considerano questo comportamento insicuro? Se questo è il caso c'è comunque di dire loro che va bene memorizzare nella cache?

security https

— slashnick
fonte

Sì, i browser memorizzeranno nella cache i contenuti su HTTPS, controlla questo link neopatel.blogspot.com/2010/02/…

— Patel

@KalpeshPatel, dipende dalle impostazioni dell'utente . Alcuni hanno impostato la memorizzazione nella cache su disabilitata per tutte le pagine HTTPS blogs.msdn.com/b/ieinternals/archive/2010/04/21/…

— Pacerier

Risposte:

134

Per impostazione predefinita, i browser Web devono memorizzare nella cache il contenuto su HTTPS come su HTTP, a meno che non sia stato esplicitamente indicato diversamente tramite le intestazioni HTTP ricevute.

Questo link è una buona introduzione all'impostazione della cache nelle intestazioni HTTP.

c'è un modo per dire loro che va bene memorizzare nella cache?

Ciò può essere ottenuto impostando il max-agevalore Cache-Controlnell'intestazione su un valore diverso da zero, ad es

Cache-Control: max-age=3600

dirà al browser che questa pagina può essere memorizzata nella cache per 3600 secondi (1 ora)

— ConroyP
fonte

Se un utente dovesse visitare mysite.com e scaricare style.css, quando accederà a mysite.com verrebbe richiesto di nuovo style.css?

— Frank,

Non sono sicuro che siamo tutti sulla stessa pagina qui. Stiamo parlando se il contenuto HTTPS verrà memorizzato nella cache per impostazione predefinita o stiamo chiedendo se verrà memorizzato nella cache assumendo determinate intestazioni di risposta HTTP? Il collegamento al tutorial di memorizzazione nella cache Web a cui si è collegati da Mark Nottingham indica in realtà che il contenuto protetto (ovvero HTTPS) o autenticato non verrà memorizzato nella cache a meno che l'intestazione del controllo della cache non indichi che è contenuto pubblico.

— Edward Shtern,

— siamo

Firefox ha rimosso il requisito per Cache-Control: pubblico anni fa.

— GreenReaper,

Questa affermazione "i browser Web dovrebbero memorizzare nella cache i contenuti su HTTPS" è errata per me. Perché dovrebbero farlo? Inoltre, controlla il commento sotto una persona del team chromium " code.google.com/p/chromium/issues/detail?id=110649#c6 " Dice "In realtà nulla viene memorizzato nella cache (nella cache persistente)"

— Teoman shipahi,

192

A partire dal 2010, tutti i browser moderni e attuali memorizzano nella cache il contenuto HTTPS per impostazione predefinita, a meno che non sia esplicitamente detto di non farlo.

Si Non necessaria per set cache-control:publicperché questo avvenga.

Fonte: Chrome , IE , Firefox .

— MarkR
fonte

Sembra quindi che la tendenza generale sia quella di consentire la memorizzazione nella cache degli oggetti HTTPS; questa è normalmente una buona cosa, poiché gli sviluppatori dovrebbero dire al browser di non memorizzare nella cache gli oggetti se sono sensibili alla privacy e consentirgli di farlo quando non lo sono (ad esempio immagini, css, che è molto utile per le prestazioni in particolare su HTTPS). Grazie per quello

— MarkR

È conforme RFC per la cache automatica delle risorse HTTPS senza cache-control:public?

— Pacerier,

I browser @Pacerier considerano letteralmente RFC "richiesta di commenti". molto spesso le RFC cambiano per riflettere ciò che è già presente nei browser.

— CG

Https è memorizzato nella cache per impostazione predefinita. Questo è gestito da un'impostazione globale che non può essere sovrascritta dalle direttive della cache definite dall'applicazione. Per ignorare l'impostazione globale, selezionare l'applet Opzioni Internet nel pannello di controllo e andare alla scheda Avanzate. Seleziona la casella "Non salvare pagine crittografate su disco" nella sezione "Sicurezza", ma l'uso del solo HTTPS non ha alcun impatto sul fatto che IE decida o meno di memorizzare nella cache una risorsa.

WinINet memorizza solo nella cache le risposte HTTP e FTP e non la risposta HTTPS. https://msdn.microsoft.com/en-us/library/windows/desktop/aa383928%28v=vs.85%29.aspx

— Ashim Nath
fonte