Sto testando un'applicazione web in cui alcune richieste restituiscono dati privati, che non dovrebbero essere salvati nella cache. La risposta contiene intestazioni:
Cache-Control: no-cache, no-store, must-revalidate
Pragma: no-cache
Expires: -1
Ho trovato qui link che scade: -1 significa che queste pagine non vengono mai memorizzate nella cache, quindi sembra ok.
Ma OWASP ASVS consiglia:
Expires: Tue, 03 Jul 2001 06:00:00 GMT
Last-Modified: {now} GMT
Cache-Control: no-store, no-cache, must-revalidate, max-age=0
Cache-Control: post-check=0, pre-check=0
Pragma: no-cache
Ci sono tutte le intestazioni necessarie e dovrei aggiungerle o è ok adesso?