Czy przeglądarki będą buforować zawartość przez https

245

Czy treści żądane przez https nadal będą buforowane przez przeglądarki internetowe, czy też uważają to zachowanie za niebezpieczne? Jeśli tak jest, czy w ogóle można im powiedzieć, że buforowanie jest w porządku?

security https

— slashnick
źródło

Tak, przeglądarki będą buforować zawartość za pośrednictwem protokołu HTTPS. Sprawdź ten link neopatel.blogspot.com/2010/02/…

— Kalpesh Patel

@KalpeshPatel, To zależy od ustawień użytkownika . Niektórzy ustawili buforowanie na wyłączone dla wszystkich stron HTTPS blogs.msdn.com/b/ieinternals/archive/2010/04/21/...

— Pacerier

Odpowiedzi:

134

Domyślnie przeglądarki internetowe powinny buforować zawartość przez HTTPS tak samo jak przez HTTP, chyba że wyraźnie otrzymano inaczej za pośrednictwem otrzymanych nagłówków HTTP .

Ten link stanowi dobre wprowadzenie do ustawiania pamięci podręcznej w nagłówkach HTTP.

czy w ogóle można im powiedzieć, że buforowanie jest w porządku?

Można to osiągnąć ustawiając max-agewartość w Cache-Controlnagłówku na wartość niezerową, np

Cache-Control: max-age=3600

poinformuje przeglądarkę, że tę stronę można buforować przez 3600 sekund (1 godzinę)

— ConroyP
źródło

Gdyby użytkownik odwiedził mysite.com i pobrał style.css, to kiedy przejdzie do mysite.com, zostanie ponownie poproszony o style.css?

— Frank

Nie jestem pewien, czy wszyscy jesteśmy tutaj na tej samej stronie. Czy mówimy o tym, czy zawartość HTTPS będzie buforowana domyślnie, czy też pytamy, czy będzie buforowana przy założeniu pewnych nagłówków odpowiedzi HTTP? Link do samouczka buforowania w sieci, do którego odsyłałeś z Mark Nottingham, faktycznie wskazuje, że bezpieczna (tj. HTTPS) lub uwierzytelniona zawartość nie będzie buforowana, chyba że nagłówek kontroli pamięci podręcznej wskazuje, że jest to treść publiczna.

— Edward Shtern

Natknąłem się na fajny artykuł: blog.httpwatch.com/2011/01/28/top-7-myths-about-https

— roberkules

Firefox usunął wymóg kontroli pamięci podręcznej: publiczne lata temu.

— GreenReaper

To stwierdzenie „przeglądarki internetowe powinny buforować zawartość przez HTTPS” jest dla mnie błędne. Dlaczego mieliby to robić? Ponadto sprawdź poniżej komentarz osoby z zespołu chromu „ code.google.com/p/chromium/issues/detail?id=110649#c6 ” Mówi „W rzeczywistości nic nie jest buforowane (na trwałym buforze)”

— Teoman shipahi

192

Począwszy od 2010 r., Wszystkie nowoczesne, aktualne przeglądarki domyślnie buforują zawartość HTTPS, chyba że wyraźnie tego nie zalecono.

Ustawienie tego nie jest wymagane cache-control:public.

Źródło: Chrome , IE , Firefox .

— MarkR
źródło

Wydaje się zatem, że ogólną tendencją jest umożliwienie buforowania obiektów HTTPS; jest to zwykle Dobra Rzecz, ponieważ programiści powinni powiedzieć przeglądarce, aby w ogóle nie buforowała obiektów, jeśli są wrażliwe na prywatność, i zezwalać na to, gdy nie są (np. obrazy, css, co jest szczególnie korzystne z punktu widzenia wydajności na HTTPS). Dziękuję za to.

— MarkR

Czy bez automatycznego buforowania zasobów HTTPS jest zgodny z RFC cache-control:public?

— Pacerier

@ Przeglądarki Pacerier uznają dosłownie RFC „prośbę o komentarze”. najczęściej RFC zmieniają się, aby odzwierciedlić to, co jest już w przeglądarkach.

— gcb

Https jest domyślnie buforowany. Jest to zarządzane przez ustawienie globalne, którego nie można zastąpić dyrektywami pamięci podręcznej zdefiniowanymi przez aplikację. Aby zastąpić ustawienie globalne, wybierz aplet Opcje internetowe w panelu sterowania i przejdź do karty Zaawansowane. Zaznacz pole „Nie zapisuj zaszyfrowanych stron na dysku” w sekcji „Bezpieczeństwo”, ale samo użycie HTTPS nie ma wpływu na to, czy IE zdecyduje się buforować zasób.

WinINet buforuje tylko odpowiedzi HTTP i FTP, a nie HTTPS. https://msdn.microsoft.com/en-us/library/windows/desktop/aa383928%28v=vs.85%29.aspx

— Ashim Nath
źródło