所以,最近我在网页上进行了安全扫描。在一项建议中,它对图像/ js /字体文件说“正在缓存Https响应”,这似乎违反直觉。这个建议似乎是不同安全产品之间的共识。
所以,为什么在HTTP或HTTPS模式下缓存静态文件很重要?我认为现代实践是使所有HTTPS都可以避免篡改,而浏览器缓存则可以避免额外的下载。
最后,如果我们想以HTTPS模式缓存静态内容,正确的做法是什么?添加额外的逻辑使其改为调用HTTP?这似乎是一个可怕的主意。
这是一个警告,旨在防止人们在不知不觉中允许私人回复被缓存。这些描述都说“ If敏感信息存储在缓存中...”的某些变体。注意“如果”。
如果您有意允许对内容进行缓存,则没有问题。我认为该工具仅在安全请求中显示此信息,因为这样的信息可能很敏感。