我一直在做一些OWASP测试,其中一个低级威胁是:
<?php
namespace app\commands;
use Yii;
use yii\console\Controller;
class RbacController extends Controller
{
public function actionInit()
{
$auth = Yii::$app->authManager;
// add "createPost" permission
$createPost = $auth->createPermission('createPost');
$createPost->description = 'Create a post';
$auth->add($createPost);
// add "author" role and give this role the "createPost" permission
$author = $auth->createRole('author');
$auth->add($author);
$auth->addChild($author, $createPost);
}
}
OWASP的建议是防止内容被缓存......但这没有任何意义。如果某些内容被浏览器缓存,我认为它有助于您的页面加载速度?另外,如何缓存静态内容是一种安全威胁?
答案 0 :(得分:2)
有利于表现。
如果这些页面包含敏感信息,则对安全性不利。如果未设置这些标题,那么即使您退出网站,有权访问您计算机的人也可以通过使用“返回”按钮从您的历史记录中访问这些页面。中间代理也可以缓存页面。安全性与环境有关 - 如果那里没有敏感信息那么这不是问题。