我们有一家外部公司在我们的网络应用程序上生成安全风险报告,他们表示允许可缓存的HTTPS响应是一种“中等”的安全风险。
人们会同意这种评估吗?
答案 0 :(得分:2)
如果数据确实需要安全,那么缓存它似乎是一个坏主意。
例如,如果它是,例如,用户的银行详细信息,那么如果将其缓存到服务器,那么这是另一个存在破解风险的地方(除了存储数据的数据库之外) 。
如果它确实不需要是安全的,那么它只是通过https传递,其中包含需要安全且不缓存的内容(如通过https提供的页面中的图像)然后我认为这绝对没问题。< / p>
答案 1 :(得分:1)
响应的服务器端缓存应该没问题,因为它发生在与https用于加密的SSL / TLS不同的层上。