浏览器缓存静态内容是否有利?

时间:2016-02-12 10:52:37

标签: owasp

我一直在做一些OWASP测试,其中一个低级威胁是:

<?php
namespace app\commands;

use Yii;
use yii\console\Controller;

class RbacController extends Controller
{
    public function actionInit()
    {
        $auth = Yii::$app->authManager;

        // add "createPost" permission
        $createPost = $auth->createPermission('createPost');
        $createPost->description = 'Create a post';
        $auth->add($createPost);

        // add "author" role and give this role the "createPost" permission
        $author = $auth->createRole('author');
        $auth->add($author);
        $auth->addChild($author, $createPost);

    }
}

OWASP的建议是防止内容被缓存......但这没有任何意义。如果某些内容被浏览器缓存,我认为它有助于您的页面加载速度?另外,如何缓存静态内容是一种安全威胁?

1 个答案:

答案 0 :(得分:2)

有利于表现。

如果这些页面包含敏感信息,则对安全性不利。如果未设置这些标题,那么即使您退出网站,有权访问您计算机的人也可以通过使用“返回”按钮从您的历史记录中访问这些页面。中间代理也可以缓存页面。安全性与环境有关 - 如果那里没有敏感信息那么这不是问题。