Akankah browser web menyimpan konten lebih dari https

245

Apakah konten yang diminta lebih dari https masih di-cache oleh browser web atau mereka menganggap perilaku tidak aman ini? Jika ini masalahnya apakah ada untuk memberi tahu mereka bahwa tidak apa-apa untuk melakukan cache?

security https

— Slashnick
sumber

Ya browser akan men-cache konten melalui HTTPS, periksa tautan ini neopatel.blogspot.com/2010/02/…

— Kalpesh Patel

@KalpeshPatel, Itu tergantung pada pengaturan pengguna . Beberapa memiliki set caching untuk dinonaktifkan untuk semua HTTPS halaman blogs.msdn.com/b/ieinternals/archive/2010/04/21/...

— Pacerier

Jawaban:

134

Secara default, peramban web harus menembolokkan konten melalui HTTPS sama seperti pada HTTP, kecuali jika secara eksplisit diberitahu sebaliknya melalui Tajuk HTTP yang diterima.

Tautan ini merupakan pengantar yang bagus untuk pengaturan pengaturan cache di header HTTP.

adakah di sana untuk memberi tahu mereka bahwa boleh-boleh saja cache?

Ini dapat dicapai dengan menetapkan max-agenilai di Cache-Controlheader ke nilai yang tidak nol, misalnya

Cache-Control: max-age=3600

akan memberi tahu browser bahwa halaman ini dapat di-cache selama 3600 detik (1 jam)

— ConroyP
sumber

Jika pengguna mengunjungi mysite.com dan mengunduh style.css, ketika mereka pergi ke mysite.com, akankah style.css diminta lagi?

— Frank

Saya tidak yakin kita semua ada di halaman yang sama di sini. Apakah kita berbicara tentang apakah konten HTTPS akan di-cache secara default, atau bertanya apakah itu akan di-cache dengan asumsi header respons HTTP tertentu? Tautan ke tutorial cache web yang Anda tautkan dari Mark Nottingham sebenarnya menunjukkan bahwa konten yang aman (yaitu HTTPS) atau yang diautentikasi tidak akan di-cache kecuali jika header-kontrol cache menunjukkan bahwa itu konten publik.

— Edward Shtern

Stumbled atas artikel yang bagus: blog.httpwatch.com/2011/01/28/top-7-myths-about-https

— roberkules

Firefox menghapus persyaratan untuk Kontrol-Cache: publik tahun lalu.

— GreenReaper

Pernyataan "peramban web ini harus menembolokkan konten melalui HTTPS" salah bagi saya. Mengapa mereka harus melakukannya? Plus, silakan periksa komentar di bawah ini seseorang dari tim chromium " code.google.com/p/chromium/issues/detail?id=110649#c6 " Dia mengatakan "Sebenarnya tidak ada yang di-cache (pada cache persisten)"

— Teoman shipahi

192

Pada 2010, semua browser modern, ish saat ini cache konten HTTPS secara default, kecuali secara eksplisit diberitahu untuk tidak.

Hal ini tidak diperlukan untuk set cache-control:publicini terjadi.

Sumber: Chrome , IE , Firefox .

— MarkR
sumber

Tampaknya kemudian, bahwa kecenderungan umum adalah memungkinkan caching objek HTTPS; ini biasanya Good Thing, karena pengembang harus memberi tahu browser untuk tidak men-cache objek sama sekali jika mereka peka terhadap privasi, dan membiarkannya melakukannya ketika mereka tidak (misalnya gambar, css, yang sangat bermanfaat bagi kinerja terutama pada HTTPS). Terima kasih untuk itu.

— MarkR

Apakah ini sesuai dengan RFC untuk secara otomatis menyimpan sumber daya HTTPS tanpa cache-control:public?

— Pacerier

@Pacerier browser menganggap RFC literal "permintaan komentar". paling sering RFC berubah untuk mencerminkan apa yang sudah ada di browser.

— gcb

Https di-cache secara default. Ini dikelola oleh pengaturan global yang tidak dapat ditimpa oleh arahan cache yang ditentukan aplikasi. Untuk mengganti pengaturan global, pilih applet Opsi Internet di panel kontrol, dan pergi ke tab lanjutan. Centang kotak "Jangan simpan halaman yang dienkripsi ke disk" di bawah bagian "Keamanan", tetapi penggunaan HTTPS sendiri tidak berdampak pada apakah IE memutuskan untuk menembolok sumber daya atau tidak.

WinINet hanya menyimpan respons HTTP dan FTP, bukan respons HTTPS. https://msdn.microsoft.com/en-us/library/windows/desktop/aa383928%28v=vs.85%29.aspx

— Ashim Nath
sumber