POST request no-cache header

0

Durante i test / valutazioni di sicurezza si dice spesso che è necessario impostare il controllo della cache su no-cache (e alcune altre cose). Ma mentre guardavo questo ho trovato che le richieste POST non sono memorizzate nella cache (che ha senso) per impostazione predefinita.

Quindi la mia domanda è: se i dati sensibili vengono inviati solo come risposta a una richiesta POST, allora è ancora necessario impostare l'intestazione no-cache per quelle richieste POST? Questo presuppone che non vi siano problemi nel fatto che le richieste GET siano memorizzate nella cache poiché non contengono nulla di interessante.

    
posta Wealot 20.03.2017 - 12:10
fonte

1 risposta

1

Riferendosi a questa risposta prenderei questo per significare che il browser potrebbe memorizzare nella cache la risposta, quindi è buona pratica per impostare le intestazioni per informare il browser che non dovrebbe.

Poiché si tratta di un vecchio post, tieni presente che ora dovremmo esaminare questa sezione di rfc 7234 piuttosto che obsoleto 2616. Molti browser moderni interpretano ora no-cache come no-store come equivalente, anche se per il piccolo prezzo di impostare l'intestazione corretta imposterò esplicitamente no-store .

    
risposta data 08.04.2017 - 08:54
fonte

Leggi altre domande sui tag