使用Cache-Control: no-store头,禁止IE浏览器保存临时文件,保护机密信息

最新推荐文章于 2025-04-29 03:30:00 发布
最新推荐文章于 2025-04-29 03:30:00 发布
阅读量1.6k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: WEB 文章标签: 浏览器缓存
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/shenyue_sam/article/details/77019122

通常,IE浏览器访问页面时,会在临时文件夹下保存页面的html,js,图片等等。
当页面上包含敏感信息时,这些信息也会存储在临时文件中。
这就造成了安全隐患。

用户可以设置浏览器在关闭浏览器时删除临时文件,或手工删除。
但从网站开发者的角度讲,无法要求用户这样做。那么,如何满足这样的需求呢?
能不能控制浏览器不保存临时文件呢?

可以,HTTP协议1.1版中,规定了缓存的使用。其中,
Cache-Control: no-store
这个应答头可以满足我们的需要。

从协议中摘抄的部分内容:

no-store指令的用途是阻止不经意间释放或保存敏感信息(例如,在备份磁带上)。
no-store指令应用到整个消息,且[可以]在响应或请求中发送。 若在请求中发送,缓存[禁止]保存该请求或任何对其响应的任何部分。
若在响应中发送,缓存[禁止]保存该响应或引起的请求的任何部分。 该指令应用到非共享和共享缓存。
“[禁止]保存”在本处意味着缓存[禁止]在内部保存信息到固定存储器上,
且[必须]在转发后尽可能迅速且最有效地尝试从非固定存储器上删除该信息。

该指令的用途是满足关心通过非可预料地访问缓存数据结构意外释放信息的确定用户和服务作者的规定要求。
使用该指令可能在一些情况下改进私密性的同时,我们提醒它”并非”在任何方式下都是可靠或充分的机制来确保私密性。
特别是,恶意或妥协缓存可能不认识或服从该指令,且通过网络可能易受偷听。

nginx配置:

location /no-store/ {
    add_header Cache-Control no-store;
}

参考HTTP协议:
http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.html#sec14.9.2

URL输入到页面渲染流程知识点(三)---- HTTP
weixin_43165676的博客
11-01 1334
HTTP、HTTPS、HTTP缓存
ie发送ajax请求返回上一次结果的解决方法
12-03
除了以上两种方法,还有一些其他策略可以考虑,比如在服务器端设置HTTP禁止缓存,例如`Cache-Control: no-cache, no-store, must-revalidate`和`Pragma: no-cache`。然而,这些通常需要服务器端配合,且可能影响...
关于页面缓存Cache-Controlno-store
抱愚守拙,持之以恒;不问结果,相信过程.
02-06 6274
对于提交的订单,为了防止浏览器回退重新提交,我们可以使用Cache-Controlno-store绝对禁止缓存,即便浏览器回退依然请求的是服务器,进而判断订单的状态给出相应的提示信息! 附网上解释: Cache-Control Http1.1 中的标准,可以看成是 expires 的补充。使用的是相对时间的概念。 简单介绍下Cache-Control的属性设置。 1)max-age:
HTTP 请求的响应部字段 Cache-Control 的值为 no-store 是什么意思
2007 年 ~ 2025 年,深耕 SAP 技术 18 年
12-14 812
是用来指定 HTTP 缓存机制的指令,包括缓存的存储、过期、验证等行为。no-store是其中的一个指令,它告诉所有缓存不要存储任何内容,即使是加密的或者经过身份验证的请求和响应也不例外。这样可以确保每次请求都直接从服务器获取最新的数据,保证数据的实时性和安全性。是一种强有力的缓存控制指令,它确保敏感信息不被缓存,每次请求都直接从服务器获取最新的数据。这对于保证数据的实时性、隐私性和安全性都是至关重要的。在处理需要高度安全性和隐私性的应用程序时,使用这个指令是一个很好的实践。通过在 HTTP 部中使用
Cache-Control no-cache no-store
east_sun的专栏
11-24 974
在Chrome中,设置Cache-Controlno-store,可以防止页面别
cache controlno-cacheno-store 的区别
2007 年 ~ 2025 年,深耕 SAP 技术 18 年
08-31 4910
no-cache 并不意味着不缓存。 事实上,这意味着在对每个请求使用您可能拥有的任何缓存响应之前“使用服务器重新验证”。 另一方面,must-revalidate 只需要在资源被认为陈旧时重新验证。 如果服务器说资源仍然有效,那么缓存可以用它的表示进行响应,从而减轻服务器重新发送整个资源的需要。 no-store 实际上是完整的不缓存指令,旨在防止以任何形式的缓存存储表示。 no-store 指令的目的是防止无意中释放或保留敏感信息(例如,在备份磁带上)。 no-store 指令适用于整个消息,可以在响应
浏览器缓存控制Cache-Controlno-cache(允许缓存资源,但使用前必须向服务器验证)与no-store(完全禁止缓存,不允许存储任何资源副本)
最新发布
Dontla的博客
04-29 1416
工作机制: 适用场景:工作机制: 适用场景: 性能影响 : 可能减少带宽使用,但不减少请求次数 : 始终消耗最大带宽,无缓存优化可能 正确选择这两种指令对网站性能和数据安全性有重要影响。ᅟᅠ        ‌‍ᅟᅠ        ‌‍ᅟᅠ        ‌‍ᅟᅠ        ‌‍ᅟᅠ        ‌‍ᅟᅠ        ‌‍ᅟᅠ        ‌‍ᅟᅠ        ‌‍ᅟᅠ        ‌‍ᅟᅠ        ‌‍ᅟᅠ        ‌‍ᅟᅠ        ‌‍ᅟᅠ        ‌‍ᅟᅠ   
修改了js但IE浏览器未修改
03-08
嗯,用户遇到了修改了JavaScript代码但IE浏览器没有生效的问题。首先,我需要考虑可能的原因。IE浏览器有多个版本,比如IE 11和更旧的版本,兼容性问题比较常见。可能用户修改了JS文件,但浏览器缓存导致旧文件被...
ie浏览器访问网址带参数却是空白页,没有带参数是能访问的
03-12
好的,我现在需要解决用户提出的问题:IE浏览器访问带参数的网址时显示空白页面。首先,我应该考虑IE浏览器兼容性问题的常见原因和解决方法。根据用户提供的引用内容,特别是引用[1]和[2],可能涉及JavaScript语法...
IE下Ajax缓存问题的快速解决方法(get方式)
09-04
IE浏览器中,由于其对Ajax请求的GET方式有默认的缓存机制,可能会导致第二次及后续请求不再向服务器发送,而是直接从缓存中读取数据,这在需要实时更新数据的应用场景下是一个问题。以下是一些解决IE下Ajax缓存...
关于Cache-Control: no-cacheno-store
lkj41110的博客
07-23 2万+
在公司上班的正真上班的第一天,发现的jsp页面上,设置了response HTTP,是设置了这三个属性: Cache-Control: no-cacheCache-Control:no-store,Expires 这三个属性都是和网页的缓存有关。HTTP1.0HTTP1.0中通过Pragma 控制页面缓存,通常设置的值为no- cache,不过这个值不这么保险,通常还加上Expires置为0
关于http首部字段cache-control中的no-cacheno-store区别
z_ruitao的博客
12-11 6452
no-cache 代表不缓冲过期的资源,缓存会向源服务器进行有效确认 no-store 则是不进行任何数据的缓存
ie cache-control 不生效_太难了! 不方便,影响颜值,无法运动... ...戴眼镜多年,也能裸眼看清世界?...
weixin_39624429的博客
12-11 169
如果你跟我一样,是一个“四眼”,你是否也跟我一样,因为近视,日常生活产生了无数的烦恼和尴尬?面试时,厚厚的镜片总让HR觉得我是书呆子;冬天,约喜欢的人去吃饭,夹菜时眼镜随时蒙上一层水蒸气;化妆时,无论化得多猛,戴上眼镜我的眼睛一样很小;运动时,总是担心眼镜会飞走,再也不敢打我心爱的羽毛球了……我也尝试过隐形眼镜,但每次都要一小时才能戴上,约会迟到,友谊的小船说翻就翻。而且一边戴一边哭出十...
Cache-Control: no-cache,Cache-Control: no-store,Pragma: no-cache区别
热门推荐
破剑冰
08-18 7万+
Cache-Control: no-cache:这个很容易让人产生误解,使人误以为是响应不被缓存。实际上Cache-Control: no-cache是会被缓存的,只不过每次在向客户端(浏览器)提供响应数据时,缓存都要向服务器评估缓存响应的有效性。 Cache-Control: no-store:这个才是响应不被缓存的意思。 Pragma: no-cache:跟Cache-Cont
no-cacheno-store 的区别
lgq2016的博客
10-23 446
一般情况下对于 index.html 或者现代构建环境下不加 hash 的静态资源都需要设置 Cache-Control: no-cache,用来强制每次在服务器端的新鲜度校验。no-cacheno-store 用作控制缓存,被服务器通过响应 Cache-Control 传递给客户端。,来决定从服务端获取新的资源(200)还是使用客户端缓存(304)。也就是所谓的协商缓存。,永远都去原始服务器去获取资源。可以在客户端存储资源,
IE浏览器http请求缓存问题
m0_51499501的博客
10-19 1254
问题描述 在 IE 浏览器使用 GET 请求时,只有第一次请求会到服务端,后续请求会直接从浏览器缓存中读取。执行完增删改操作后,无法获取最新数据。 (注:开发环境Angular8.1.0,ng-zorro-antd:~8.0.2,前端容器nginx:1.10.1。) 解决方案 此处提供两种简洁的解决途径,具体如下。 1、通过http拦截器设置请求 新增InterceptorService.ts文件,通过HttpInterceptor接口中的intercept()方法类,对请求进行拦截。使用setHead
Nginx下关于缓存控制字段cache-control的配置说明
eshine Lau 的博客
03-24 3742
HTTP协议的Cache -Control指定请求和响应遵循的缓存机制。在请求消息或响应消息中设置 Cache-Control并不会影响另一个消息处理过程中的缓存处理过程。请求时的缓存指令包括: no-cacheno-store、max-age、 max-stale、min-fresh、only-if-cached等。
【Nginx】nginx配置文件学习
AnRanGeSi的博客
09-16 4222
访问nginx服务器192.168.48.129:82/linboke 页面,刷新第一次出现页面1再刷新一次页面出现页面2,多次刷新后随着页面内容的交替变化,发现此时nginx的负载均衡轮询规则已经生效。每个客户端的请求会按照时间顺序逐个分配到不同的后端服务器,如何myserver块中的某一台服务器挂了,那么nginx会自动剔除出问题的机器,保证业务正常。每个客户端都有一个代理,客户端通过代理去目标服务器获取资源,客户端清楚并知道服务器是谁,而服务器不知道客户端是谁。
springboot @GetMapping 设置保持 Cache-Control: no-cache Connection: keep-alive # 关键
02-26
<think>嗯,用户问的是如何在Spring Boot的@GetMapping中设置保持Cache-Control: no-cache和Connection: keep-alive这些响应。首先,我需要确认用户的使用场景。可能他们正在开发一个需要长连接或者不希望客户端缓存响应的应用,比如实时数据推送或者频繁更新的接口。 接下来,我要回忆Spring Boot中设置响应的方法。通常可以通过HttpServletResponse对象手动设置,或者使用注解如@ResponseBody配合@GetMapping,或者更简洁的方式是用ResponseEntity来构建响应。另外,Spring Boot也提供了配置Filter或Interceptor来统一添加响应的方法,这可能更适合全局设置。 用户提到的Cache-Control: no-cache是为了防止客户端缓存响应,确保每次请求都从服务器获取最新数据。而Connection: keep-alive则是保持TCP连接不立即关闭,以便复用,减少连接建立的开销,提高性能。不过,在HTTP/1.1中,默认就是keep-alive,所以是否需要显式设置可能需要看具体情况。 然后,我需要考虑用户可能的错误或遗漏。比如,是否在多个地方重复设置了响应,或者是否在关闭连接时没有正确处理。此外,如果使用手动设置,可能会忘记某些注解导致信息没有正确添加。还要注意,对于长连接,服务器和客户端的超时设置是否合理,避免资源浪费。 可能用户遇到的问题是在使用EventSource时,连接频繁断开导致多次请求,所以想通过设置这些响应来维持连接。但需要确认服务器是否正确处理了长连接,比如Spring Boot是否支持保持连接打开,或者是否有其他配置需要调整,比如Tomcat的连接超时时间。 另外,需要考虑是否有其他更合适的HTTP部或方法来实现用户的意图。例如,对于实时通信,WebSocket可能比保持HTTP连接更高效,但如果是简单的SSE(Server-Sent Events),则正确配置响应是必要的。 最后,总结几种方法:手动设置响应使用ResponseEntity、配置Filter,或者使用Spring的注解如@CrossOrigin(虽然主要用于CORS)。同时提醒用户注意默认行为,比如HTTP/1.1的keep-alive已经是默认,可能不需要显式设置,除非需要覆盖某些代理服务器的行为。</think>在 Spring Boot 中为 `@GetMapping` 接口设置 `Cache-Control` 和 `Connection` 响应,可通过以下三种方式实现: --- ### **方法 1:手动设置 HttpServletResponse** 直接在控制器方法中注入 `HttpServletResponse` 对象: ```java @GetMapping("/demo") public String demoEndpoint(HttpServletResponse response) { // 设置响应 response.setHeader("Cache-Control", "no-cache"); response.setHeader("Connection", "keep-alive"); return "Hello World"; } ``` --- ### **方法 2:使用 ResponseEntity 包装响应** 通过 `ResponseEntity` 显式控制响应和内容: ```java @GetMapping("/demo") public ResponseEntity<String> demoEndpoint() { HttpHeaders headers = new HttpHeaders(); headers.set("Cache-Control", "no-cache"); headers.set("Connection", "keep-alive"); return new ResponseEntity<>("Hello World", headers, HttpStatus.OK); } ``` --- ### **方法 3:全局配置 Filter** 通过过滤器统一添加响应(适用于所有接口): ```java @Bean public FilterRegistrationBean<Filter> addHeadersFilter() { FilterRegistrationBean<Filter> registration = new FilterRegistrationBean<>(); registration.setFilter((request, response, chain) -> { response.setHeader("Cache-Control", "no-cache"); response.setHeader("Connection", "keep-alive"); chain.doFilter(request, response); }); registration.addUrlPatterns("/*"); return registration; } ``` --- ### **关键注意事项** 1. **`Connection: keep-alive` 的特别说明**: - HTTP/1.1 默认启用 keep-alive,通常无需显式设置 - 需要确保服务器(如 Tomcat)未主动关闭空闲连接(可通过 `server.tomcat.keep-alive-timeout` 配置) 2. **`Cache-Control: no-cache` 的作用**: ```http Cache-Control: no-cache # 允许缓存但必须验证新鲜度 Cache-Control: no-store # 完全禁止缓存(更严格) ``` 3. **测试工具验证**: 使用 curl 命令验证响应: ```bash curl -I http://localhost:8080/demo ``` --- ### **扩展:通过注解统一配置** 使用 `@CrossOrigin` 注解(需结合 Spring Web): ```java @CrossOrigin(exposedHeaders = {"Cache-Control", "Connection"}) @GetMapping("/demo") public String demoEndpoint() { // ... } ``` 根据实际需求选择最合适的实现方式,推荐优先使用 `ResponseEntity` 方案以保持代码可读性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值