禁用firefox脱机模式下的内容缓存

时间:2015-05-05 11:01:17

标签: firefox caching bfcache

我正在开发一个具有用户管理功能的Web应用程序。我在firefox中找到了一个与Work Offline相关的问题。以下是描述该场景的步骤:

  1. 用户登录应用程序
  2. 用户执行某些操作并退出应用程序
  3. 如果用户现在在firefox中启用了脱机工作模式,他/她可以使用浏览器返回访问最后一页。但是,此页面应该是安全的。
  4. 在我看来,这是一个数据安全问题,因为任何其他用户都可以应用此技术来获取最后一个用户的有价值信息。

    我使用缓存控制标头与浏览器进行通信,不应缓存HTML内容。以下是使用的响应标头:

    HTTP/1.1 200 OK
    Date: Tue, 05 May 2015 10:39:30 GMT
    Server: Apache/2.4.9 (Unix) OpenSSL/0.9.8za
    Cache-Control: no-cache, no-store
    Expires: Wed, 31 Dec 1969 23:59:59 GMT
    Content-Type: text/html;charset=UTF-8
    Content-Language: en
    Vary: Accept-Encoding
    Content-Encoding: gzip
    X-Frame-Options: SAMEORIGIN
    Keep-Alive: timeout=5, max=100
    Connection: Keep-Alive
    Transfer-Encoding: chunked
    

    我用过

    Cache-Control: no-cache, no-store
    Expires: Wed, 31 Dec 1969 23:59:59 GMT
    

    我在Facebook等应用程序中注意到了这个漏洞。这是可以解决的吗?谢谢。

0 个答案:

没有答案