Question

我一直在做一些OWASP测试，其中一个低级威胁是：

<?php
namespace app\commands;

use Yii;
use yii\console\Controller;

class RbacController extends Controller
{
    public function actionInit()
    {
        $auth = Yii::$app->authManager;

        // add "createPost" permission
        $createPost = $auth->createPermission('createPost');
        $createPost->description = 'Create a post';
        $auth->add($createPost);

        // add "author" role and give this role the "createPost" permission
        $author = $auth->createRole('author');
        $auth->add($author);
        $auth->addChild($author, $createPost);

    }
}

OWASP的建议是防止内容被缓存......但这没有任何意义。如果某些内容被浏览器缓存，我认为它有助于您的页面加载速度？另外，如何缓存静态内容是一种安全威胁？

Answer 1

有利于表现。

如果这些页面包含敏感信息，则对安全性不利。如果未设置这些标题，那么即使您退出网站，有权访问您计算机的人也可以通过使用“返回”按钮从您的历史记录中访问这些页面。中间代理也可以缓存页面。安全性与环境有关 - 如果那里没有敏感信息那么这不是问题。

浏览器缓存静态内容是否有利？

1 个答案: