webdevqa.jp.net

アクセスしたページのプライバシーを保護するために、httpsサイトを使用した後、本当にブラウザのキャッシュをクリアする必要がありますか?

ログアウトした後、プライベートバンキング情報を安全に保つためにブラウザのキャッシュをクリアすることを推奨するメッセージが表示されるオンラインバンキングサイトをいくつか見ました。

それはこの時代に本当に必要ですか? 'no-cache' HTTPヘッダーを送信し、すべてをHTTPS経由で配置するだけで、アクセスしたページのコンテンツを誰かが表示できないようになりませんか?

7
kwyjibo

彼らはただ注意しているだけです。サーバーが正しいヘッダーを設定して、クライアント側に何もキャッシュされていないことを確認する場合は、問題ないはずです。銀行はブラウザが想定どおりに動作するかどうかを制御できないため、確認を求められます。

Cache-Control: no-cacheヘッダーは、あなたが思っていることを意図したものではないことに注意してください。これは、キャッシュされたバージョンを使用する前に、サーバーで再検証するようにブラウザーに指示するように設計されています。これにより、ブラウザは暗黙的にリクエストをキャッシュできます。ただし、おそらくこのディレクティブの誤った使用が広まっているため、ほとんどのブラウザは「このコンテンツをキャッシュしない」という意味でキャッシュなしを使用し始めています。

キャッシュを回避するためにサーバーが送信する必要のある正しいヘッダーはCache Control: No-storeです。

13
Martijn Heemels

ほとんどすべての主要なブラウザは、保護されたページを自動的にキャッシュしません。古いブラウザ(または本当にあいまいなブラウザ)を使用している場合、これは懸念事項になる可能性があります。さらに、ほとんどのブラウザはCache-Controlヘッダーを尊重します。これにより、サーバーはブラウザにキャッシュポリシーを指定できます。

4
Chris S