Czy przeglądarki będą buforować zawartość przez https

245

Czy treści żądane przez https nadal będą buforowane przez przeglądarki internetowe, czy też uważają to zachowanie za niebezpieczne? Jeśli tak jest, czy w ogóle można im powiedzieć, że buforowanie jest w porządku?

slashnick
źródło
Tak, przeglądarki będą buforować zawartość za pośrednictwem protokołu HTTPS. Sprawdź ten link neopatel.blogspot.com/2010/02/…
Kalpesh Patel
@KalpeshPatel, To zależy od ustawień użytkownika . Niektórzy ustawili buforowanie na wyłączone dla wszystkich stron HTTPS blogs.msdn.com/b/ieinternals/archive/2010/04/21/...
Pacerier

Odpowiedzi:

134

Domyślnie przeglądarki internetowe powinny buforować zawartość przez HTTPS tak samo jak przez HTTP, chyba że wyraźnie otrzymano inaczej za pośrednictwem otrzymanych nagłówków HTTP .

Ten link stanowi dobre wprowadzenie do ustawiania pamięci podręcznej w nagłówkach HTTP.

czy w ogóle można im powiedzieć, że buforowanie jest w porządku?

Można to osiągnąć ustawiając max-agewartość w Cache-Controlnagłówku na wartość niezerową, np

Cache-Control: max-age=3600

poinformuje przeglądarkę, że tę stronę można buforować przez 3600 sekund (1 godzinę)

ConroyP
źródło
Gdyby użytkownik odwiedził mysite.com i pobrał style.css, to kiedy przejdzie do mysite.com, zostanie ponownie poproszony o style.css?
Frank
12
Nie jestem pewien, czy wszyscy jesteśmy tutaj na tej samej stronie. Czy mówimy o tym, czy zawartość HTTPS będzie buforowana domyślnie, czy też pytamy, czy będzie buforowana przy założeniu pewnych nagłówków odpowiedzi HTTP? Link do samouczka buforowania w sieci, do którego odsyłałeś z Mark Nottingham, faktycznie wskazuje, że bezpieczna (tj. HTTPS) lub uwierzytelniona zawartość nie będzie buforowana, chyba że nagłówek kontroli pamięci podręcznej wskazuje, że jest to treść publiczna.
Edward Shtern
2
Natknąłem się na fajny artykuł: blog.httpwatch.com/2011/01/28/top-7-myths-about-https
roberkules
1
Firefox usunął wymóg kontroli pamięci podręcznej: publiczne lata temu.
GreenReaper
1
To stwierdzenie „przeglądarki internetowe powinny buforować zawartość przez HTTPS” jest dla mnie błędne. Dlaczego mieliby to robić? Ponadto sprawdź poniżej komentarz osoby z zespołu chromu „ code.google.com/p/chromium/issues/detail?id=110649#c6 ” Mówi „W rzeczywistości nic nie jest buforowane (na trwałym buforze)”
Teoman shipahi
192

Począwszy od 2010 r., Wszystkie nowoczesne, aktualne przeglądarki domyślnie buforują zawartość HTTPS, chyba że wyraźnie tego nie zalecono.

Ustawienie tego nie jest wymagane cache-control:public.

Źródło: Chrome , IE , Firefox .

MarkR
źródło
6
Wydaje się zatem, że ogólną tendencją jest umożliwienie buforowania obiektów HTTPS; jest to zwykle Dobra Rzecz, ponieważ programiści powinni powiedzieć przeglądarce, aby w ogóle nie buforowała obiektów, jeśli są wrażliwe na prywatność, i zezwalać na to, gdy nie są (np. obrazy, css, co jest szczególnie korzystne z punktu widzenia wydajności na HTTPS). Dziękuję za to.
MarkR
2
Czy bez automatycznego buforowania zasobów HTTPS jest zgodny z RFC cache-control:public?
Pacerier
@ Przeglądarki Pacerier uznają dosłownie RFC „prośbę o komentarze”. najczęściej RFC zmieniają się, aby odzwierciedlić to, co jest już w przeglądarkach.
gcb
0

Https jest domyślnie buforowany. Jest to zarządzane przez ustawienie globalne, którego nie można zastąpić dyrektywami pamięci podręcznej zdefiniowanymi przez aplikację. Aby zastąpić ustawienie globalne, wybierz aplet Opcje internetowe w panelu sterowania i przejdź do karty Zaawansowane. Zaznacz pole „Nie zapisuj zaszyfrowanych stron na dysku” w sekcji „Bezpieczeństwo”, ale samo użycie HTTPS nie ma wpływu na to, czy IE zdecyduje się buforować zasób.

WinINet buforuje tylko odpowiedzi HTTP i FTP, a nie HTTPS. https://msdn.microsoft.com/en-us/library/windows/desktop/aa383928%28v=vs.85%29.aspx

Ashim Nath
źródło