使用缓存控制的缺点是什么:no-store?

时间:2013-05-13 23:12:54

标签: http caching security http-caching

我们希望“防止无意释放或保留敏感信息(例如,在备份磁带上:))”并计划使用HTTP标头Cache-control:no-store。这样做的缺点是什么?从规范来看,似乎缓存将继续运行 - 它只是不能使用非易失性存储。为了选择指定no-store的响应,我们有一些“敏感度”。我们应该使用什么样的平衡措施 - 换句话说,为什么不将所有页面都标记为不存储?

1 个答案:

答案 0 :(得分:1)

通过使用商店,客户端具有可以使用的本地缓存。此缓存可以提高性能并减少您自己服务器的负载。

在您的情况下,我认为发送没有缓存的敏感页面是有意义的。

我认为无存储的另一个技术问题(这更像是一种奇怪的副作用)是IE的旧版本在关闭缓存时出现了Content-Disposition标头的问题。行为是这样的,下载提示将无限期地有0%的进展。

关于禁用缓存策略的一个误解是浏览器实际上会尊重它而不是将其保存到磁盘。事实并非如此 - 许多现代浏览器实际上都会将所有响应缓存到磁盘上(请参阅此SO)。但是,在这些情况下,此缓存加密。

总的来说,我认为这样做是安全的。确保你不依赖于这种机制,因为@Robert Harvy说,一旦你发送它,你就会受到浏览器的支配,如何保存它。