เว็บเบราว์เซอร์จะแคชเนื้อหาผ่าน https

245

เว็บเบราว์เซอร์จะทำการร้องขอเนื้อหาผ่าน https หรือไม่หรือพวกเขาพิจารณาพฤติกรรมที่ไม่ปลอดภัยนี้หรือไม่ หากเป็นกรณีนี้มีอยู่แล้วที่จะบอกพวกเขาว่ามันแคช?

security https

— slashnick
แหล่งที่มา

ใช่เบราว์เซอร์จะแคชเนื้อหาผ่าน HTTPS ตรวจสอบลิงค์นี้neopatel.blogspot.com/2010/02/ …

— Kalpesh Patel

@KalpeshPatel ขึ้นอยู่กับการตั้งค่าของผู้ใช้ บางคนมีชุดแคชปิดใช้งานสำหรับทุกหน้า HTTPS blogs.msdn.com/b/ieinternals/archive/2010/04/21/...

— Pacerier

คำตอบ:

134

โดยค่าเริ่มต้นเว็บเบราว์เซอร์ควรแคชเนื้อหาผ่าน HTTPS เหมือนกับ over HTTP เว้นแต่จะได้รับการแจ้งอย่างชัดเจนผ่านทางส่วนหัว HTTP ที่ได้รับ

ลิงค์นี้เป็นคำแนะนำที่ดีสำหรับการตั้งค่าแคชในส่วนหัว HTTP

มีอยู่แล้วที่จะบอกพวกเขาว่ามันแคชไปใช่ไหม?

สิ่งนี้สามารถทำได้โดยการตั้งmax-ageค่าในCache-Controlส่วนหัวเป็นค่าที่ไม่เป็นศูนย์เช่น

Cache-Control: max-age=3600

จะบอกเบราว์เซอร์ว่าหน้านี้สามารถแคชได้ 3600 วินาที (1 ชั่วโมง)

— ConroyP
แหล่งที่มา

หากผู้ใช้ไปที่mysite.comและดาวน์โหลด style.css เมื่อพวกเขาไปที่mysite.comจะมีการร้องขอ style.css อีกครั้งหรือไม่

— แฟรงค์

ฉันไม่แน่ใจว่าเราทุกคนอยู่ในหน้าเดียวกันที่นี่ เรากำลังพูดถึงว่าเนื้อหา HTTPS จะถูกเก็บไว้เป็นค่าเริ่มต้นหรือจะถามว่าเนื้อหานั้นจะถูกแคชหรือไม่หากมีส่วนหัวการตอบกลับ HTTP ที่แน่นอน ลิงก์ไปยังบทช่วยสอนการแคชเว็บที่คุณเชื่อมโยงจาก Mark Nottingham ระบุว่าจริง ๆ แล้วมีความปลอดภัย (เช่น HTTPS) หรือเนื้อหาที่ผ่านการรับรองความถูกต้องจะไม่ถูกแคชเว้นแต่ว่าส่วนหัวควบคุมแคชระบุว่าเป็นเนื้อหาสาธารณะ

— Edward Shtern

สะดุดบทความที่ดี: blog.httpwatch.com/2011/01/28/top-7-myths-about-https

— roberkules

Firefox ลบข้อกำหนดสำหรับ Cache-Control: สาธารณะเมื่อหลายปีก่อน

— GreenReaper

ข้อความนี้ "เว็บเบราว์เซอร์ควรแคชเนื้อหาผ่าน HTTPS" ผิดสำหรับฉัน ทำไมพวกเขาควรทำมัน? นอกจากนี้โปรดตรวจสอบความคิดเห็นด้านล่างบุคคลจากทีม Chromium " code.google.com/p/chromium/issues/detail?id=110649#c6 " เขาพูดว่า "อันที่จริงแล้วไม่มีแคชใด ๆ (บนแคชถาวร)"

— Teoman shipahi

192

ตั้งแต่ปี 2010 เบราว์เซอร์ที่ทันสมัยและทันสมัยทั้งหมดจะแคชเนื้อหา HTTPS ตามค่าเริ่มต้นเว้นแต่จะมีการแจ้งให้ทราบอย่างชัดเจน

มันเป็นเรื่องที่ไม่จำเป็นต้องชุดcache-control:publicนี้จะเกิดขึ้น

ที่มา: Chrome , IE , Firefox

— MarkR
แหล่งที่มา

ปรากฏว่าแนวโน้มทั่วไปเป็นการอนุญาตให้แคชวัตถุ HTTPS โดยทั่วไปแล้วสิ่งนี้เป็นสิ่งที่ดีเนื่องจากผู้พัฒนาควรบอกเบราว์เซอร์ว่าไม่ควรแคชวัตถุใด ๆ หากพวกเขามีความอ่อนไหวต่อความเป็นส่วนตัวและอนุญาตให้ทำเช่นนั้นเมื่อพวกเขาไม่ได้ (เช่นรูปภาพ css ซึ่งเป็นประสิทธิภาพมาก บน HTTPS) ขอบคุณสำหรับสิ่งนั้น

— MarkR

เป็นไปตาม RFC เพื่อแคชทรัพยากร HTTPS อัตโนมัติcache-control:publicหรือไม่?

— Pacerier

เบราว์เซอร์ @Pacerier พิจารณา "คำขอความคิดเห็น" ตามตัวอักษร RFC RFC ส่วนใหญ่มักจะเปลี่ยนเพื่อสะท้อนสิ่งที่มีอยู่แล้วในเบราว์เซอร์

— gcb

Https ถูกแคชตามค่าเริ่มต้น สิ่งนี้ได้รับการจัดการโดยการตั้งค่าส่วนกลางที่ไม่สามารถแทนที่ได้โดยคำสั่งแคชที่กำหนดโดยแอปพลิเคชัน หากต้องการแทนที่การตั้งค่าส่วนกลางให้เลือกแอปเพล็ตตัวเลือกอินเทอร์เน็ตในแผงควบคุมแล้วไปที่แท็บขั้นสูง ทำเครื่องหมายที่ช่อง "อย่าบันทึกหน้าที่เข้ารหัสไปยังดิสก์" ในส่วน "ความปลอดภัย" แต่การใช้ HTTPS เพียงอย่างเดียวจะไม่มีผลกระทบใด ๆ กับการที่ IE ตัดสินใจว่าจะแคชทรัพยากรหรือไม่

WinINet แคชเฉพาะการตอบสนอง HTTP และ FTP ไม่ใช่การตอบสนอง HTTPS https://msdn.microsoft.com/en-us/library/windows/desktop/aa383928%28v=vs.85%29.aspx

— Ashim Nath
แหล่งที่มา