Ho letto da qualche parte che quando si memorizzano informazioni sensibili su un sito web si dovrebbe includere cache-control: no-store
per dire al browser di non memorizzare quelle informazioni sul sistema locale. Ma penso che quando viene utilizzato cache-control: no-cache
, dice semplicemente al browser di non memorizzare nella cache quella pagina.
Durante una delle mie valutazioni sulla sicurezza, mi sono imbattuto in un sito web che utilizza solo cache-control: no-cache
intestazione in risposte contenenti informazioni sensibili come chiavi API, carte di credito e conti bancari.
Queste risposte dovrebbero contenere cache-control: no-store
, pragma: no-cache
in risposte per una sicurezza migliore o cache-control: no-cache
sufficiente?