security cos'è - I browser Web memorizzeranno il contenuto della cache su https





firefox file (4)


A partire dal 2010, tutti i browser moderni e attuali nascondono il contenuto HTTPS per impostazione predefinita, a meno che non venga esplicitamente detto di non farlo.

Non è necessario impostare il cache-control:public perché ciò avvenga.

Fonte: Chrome , blogs.msdn.com/b/ieinternals/archive/2010/04/21/… , Firefox .

I contenuti richiesti su https saranno ancora memorizzati nella cache dai browser Web o considerano questo comportamento non sicuro? Se questo è il caso, c'è comunque da dire che è ok per la cache?




Per impostazione predefinita, i browser Web devono memorizzare nella cache il contenuto su HTTPS come su HTTP, a meno che non venga esplicitamente indicato attraverso le intestazioni HTTP ricevute.

Questo collegamento è una buona introduzione all'impostazione dell'impostazione della cache nelle intestazioni HTTP.

c'è comunque da dire che è ok per la cache?

Questo può essere ottenuto impostando il valore max-age nell'intestazione di Cache-Control su un valore diverso da zero, ad es

Cache-Control: max-age=3600

dirà al browser che questa pagina può essere memorizzata nella cache per 3600 secondi (1 ora)




Https è memorizzato nella cache per impostazione predefinita. Questo è gestito da un'impostazione globale che non può essere sostituita dalle direttive della cache definite dall'applicazione. Per ignorare l'impostazione globale, seleziona l'applet Opzioni Internet nel pannello di controllo e vai alla scheda Avanzate. Seleziona la casella "Non salvare le pagine crittografate su disco" nella sezione "Sicurezza", ma l'uso di HTTPS da solo non ha alcun impatto sul fatto che IE decida di memorizzare una risorsa in cache.

WinINet memorizza solo le risposte HTTP e FTP non la risposta HTTPS. https://msdn.microsoft.com/en-us/library/windows/desktop/aa383928%28v=vs.85%29.aspx




Basta usare

readonly onfocus = "this.removeAttribute ('readonly');"

inoltre

autocomplete = "off"

agli input che non si desidera ricordare i dati del modulo ( username , password , ecc.) come mostrato di seguito:

<input type="text" name="UserName" autocomplete="off" readonly 
    onfocus="this.removeAttribute('readonly');" >

<input type="password" name="Password" autocomplete="off" readonly 
    onfocus="this.removeAttribute('readonly');" >

Testato sulle ultime versioni dei principali browser, ovvero Google Chrome , Mozilla Firefox , Microsoft Edge , ecc. E funziona come un fascino. Spero che questo ti aiuti...







security https