Akankah browser web menyimpan konten lebih dari https
245
Apakah konten yang diminta lebih dari https masih di-cache oleh browser web atau mereka menganggap perilaku tidak aman ini? Jika ini masalahnya apakah ada untuk memberi tahu mereka bahwa tidak apa-apa untuk melakukan cache?
Secara default, peramban web harus menembolokkan konten melalui HTTPS sama seperti pada HTTP, kecuali jika secara eksplisit diberitahu sebaliknya melalui Tajuk HTTP yang diterima.
Tautan ini merupakan pengantar yang bagus untuk pengaturan pengaturan cache di header HTTP.
adakah di sana untuk memberi tahu mereka bahwa boleh-boleh saja cache?
Ini dapat dicapai dengan menetapkan max-agenilai di Cache-Controlheader ke nilai yang tidak nol, misalnya
Cache-Control: max-age=3600
akan memberi tahu browser bahwa halaman ini dapat di-cache selama 3600 detik (1 jam)
Jika pengguna mengunjungi mysite.com dan mengunduh style.css, ketika mereka pergi ke mysite.com, akankah style.css diminta lagi?
Frank
12
Saya tidak yakin kita semua ada di halaman yang sama di sini. Apakah kita berbicara tentang apakah konten HTTPS akan di-cache secara default, atau bertanya apakah itu akan di-cache dengan asumsi header respons HTTP tertentu? Tautan ke tutorial cache web yang Anda tautkan dari Mark Nottingham sebenarnya menunjukkan bahwa konten yang aman (yaitu HTTPS) atau yang diautentikasi tidak akan di-cache kecuali jika header-kontrol cache menunjukkan bahwa itu konten publik.
Firefox menghapus persyaratan untuk Kontrol-Cache: publik tahun lalu.
GreenReaper
1
Pernyataan "peramban web ini harus menembolokkan konten melalui HTTPS" salah bagi saya. Mengapa mereka harus melakukannya? Plus, silakan periksa komentar di bawah ini seseorang dari tim chromium " code.google.com/p/chromium/issues/detail?id=110649#c6 " Dia mengatakan "Sebenarnya tidak ada yang di-cache (pada cache persisten)"
Teoman shipahi
192
Pada 2010, semua browser modern, ish saat ini cache konten HTTPS secara default, kecuali secara eksplisit diberitahu untuk tidak.
Hal ini tidak diperlukan untuk set cache-control:publicini terjadi.
Tampaknya kemudian, bahwa kecenderungan umum adalah memungkinkan caching objek HTTPS; ini biasanya Good Thing, karena pengembang harus memberi tahu browser untuk tidak men-cache objek sama sekali jika mereka peka terhadap privasi, dan membiarkannya melakukannya ketika mereka tidak (misalnya gambar, css, yang sangat bermanfaat bagi kinerja terutama pada HTTPS). Terima kasih untuk itu.
MarkR
2
Apakah ini sesuai dengan RFC untuk secara otomatis menyimpan sumber daya HTTPS tanpa cache-control:public?
Pacerier
@Pacerier browser menganggap RFC literal "permintaan komentar". paling sering RFC berubah untuk mencerminkan apa yang sudah ada di browser.
gcb
0
Https di-cache secara default. Ini dikelola oleh pengaturan global yang tidak dapat ditimpa oleh arahan cache yang ditentukan aplikasi. Untuk mengganti pengaturan global, pilih applet Opsi Internet di panel kontrol, dan pergi ke tab lanjutan. Centang kotak "Jangan simpan halaman yang dienkripsi ke disk" di bawah bagian "Keamanan", tetapi penggunaan HTTPS sendiri tidak berdampak pada apakah IE memutuskan untuk menembolok sumber daya atau tidak.
Jawaban:
Secara default, peramban web harus menembolokkan konten melalui HTTPS sama seperti pada HTTP, kecuali jika secara eksplisit diberitahu sebaliknya melalui Tajuk HTTP yang diterima.
Tautan ini merupakan pengantar yang bagus untuk pengaturan pengaturan cache di header HTTP.
Ini dapat dicapai dengan menetapkan
max-agenilai diCache-Controlheader ke nilai yang tidak nol, misalnyaakan memberi tahu browser bahwa halaman ini dapat di-cache selama 3600 detik (1 jam)
sumber
Pada 2010, semua browser modern, ish saat ini cache konten HTTPS secara default, kecuali secara eksplisit diberitahu untuk tidak.
Hal ini tidak diperlukan untuk set
cache-control:publicini terjadi.Sumber: Chrome , IE , Firefox .
sumber
cache-control:public?Https di-cache secara default. Ini dikelola oleh pengaturan global yang tidak dapat ditimpa oleh arahan cache yang ditentukan aplikasi. Untuk mengganti pengaturan global, pilih applet Opsi Internet di panel kontrol, dan pergi ke tab lanjutan. Centang kotak "Jangan simpan halaman yang dienkripsi ke disk" di bawah bagian "Keamanan", tetapi penggunaan HTTPS sendiri tidak berdampak pada apakah IE memutuskan untuk menembolok sumber daya atau tidak.
WinINet hanya menyimpan respons HTTP dan FTP, bukan respons HTTPS. https://msdn.microsoft.com/en-us/library/windows/desktop/aa383928%28v=vs.85%29.aspx
sumber