Чи веб-браузери кешуватимуть вміст через https

245

Чи буде вміст, який запитується через https, все ще кешується веб-браузерами чи вони вважають це небезпечним поведінкою? Якщо це так, чи є все-таки, щоб сказати їм, що це добре, щоб кешувати?

security https

— слашник
джерело

Так, браузери кешуватимуть вміст у HTTPS, перевірте це посилання neopatel.blogspot.com/2010/02/…

— Kalpesh Patel

@KalpeshPatel, це залежить від налаштувань користувача . Деякі встановили кешування на всіх сторінках HTTPS blogs.msdn.com/b/ieinternals/archive/2010/04/21/…

— Pacerier

Відповіді:

134

За замовчуванням веб-браузери повинні кешувати вміст через HTTPS таким же, як і над HTTP, якщо прямо не вказано інше через отримані заголовки HTTP .

Це посилання є хорошим вступом до налаштування кешу в заголовках HTTP.

чи все-таки сказати їм, що це добре кешувати?

Цього можна досягти, встановивши max-ageзначення в Cache-Controlзаголовку на ненульове значення, наприклад

Cache-Control: max-age=3600

скаже браузеру, що цю сторінку можна кешувати протягом 3600 секунд (1 година)

— ConroyP
джерело

Якби користувач відвідував mysite.com і завантажував style.css, коли він перейде на mysite.com, він знову отримає запит на style.css?

— Френк

Я не впевнений, що ми всі на одній сторінці. Ми говоримо про те, чи буде вміст HTTPS кешований за замовчуванням, або запитуємо, чи буде він кешований, якщо передбачити певні заголовки відповідей HTTP? Посилання на навчальний посібник з кешування веб-сторінок, до якого ви пов’язані з Марком Ноттінгем, насправді вказує на те, що захищений (тобто HTTPS) або автентифікований вміст не буде кешований, якщо заголовок кеш-керування не вказує, що це загальнодоступний вміст.

— Едвард Штерн

Натрапили на приємну статтю: blog.httpwatch.com/2011/01/28/top-7-myths-about-https

— roberkules

Firefox зняв вимогу щодо кеш-контролю: загальнодоступні роки тому.

— GreenReaper

Це твердження «веб-браузери повинні кешувати вміст через HTTPS» для мене неправильне. Навіщо їм це робити? Плюс, будь ласка, перевірте коментар нижче людини з команди Chrome: " code.google.com/p/chromium/isissue/detail?id=110649#c6 " Він каже: "Насправді нічого не кешується (у постійному кеші)"

— Teoman shipahi

192

Станом на 2010 рік, усі сучасні веб-переглядачі, які діють останнім часом, кешують вміст HTTPS за замовчуванням, якщо прямо не вказано цього робити.

Встановлювати це не потрібно cache-control:public.

Джерело: Chrome , IE , Firefox .

— MarkR
джерело

Тоді виявляється, що загальна тенденція полягає у дозволі кешування об’єктів HTTPS; це, як правило, хороша річ, оскільки розробники повинні казати браузеру взагалі не кешувати об'єкти, якщо вони не залежать від конфіденційності, і дозволяти йому це робити, коли їх немає (наприклад, зображення, css, що дуже продуктивно, особливо на HTTPS). Дякую за це.

— MarkR

Чи відповідає RFC без автоматичного кешування ресурсів HTTPS cache-control:public?

— Печер'є

Браузери @Pacerier вважають RFC буквальним "запитом на коментарі". найчастіше RFC змінюються, щоб відобразити те, що вже є в браузерах.

— gcb

Https кешується за замовчуванням. Це управляється глобальним налаштуванням, яке не може бути перекрито директивами кешу, визначеними додатком. Щоб змінити глобальний параметр, виберіть аплет Internet Options на панелі керування та перейдіть на вкладку «Додаткові». Поставте прапорець "Не зберігати зашифровані сторінки на диску" у розділі "Безпека", але використання HTTPS тільки не впливає на те, вирішує чи не IE кешувати ресурс.

WinINet кешує лише відповіді HTTP та FTP, а не HTTPS-відповідь. https://msdn.microsoft.com/en-us/library/windows/desktop/aa383928%28v=vs.85%29.aspx

— Ашим Нат
джерело