encabezado de no caché de solicitud POST

Navega tus respuestas
0

Durante las pruebas / evaluaciones de seguridad, a menudo se dice que es necesario configurar el control de caché en no-caché (y algunas otras cosas). Pero mientras miraba esto, descubrí que las solicitudes POST no se almacenan en caché (lo que tiene sentido) de forma predeterminada.

Entonces, mi pregunta es: si los datos confidenciales solo se envían como respuesta a una solicitud POST, ¿es necesario configurar el encabezado sin caché para esas solicitudes POST? Esto es asumiendo que no es problema que las solicitudes GET se almacenen en caché ya que no contienen nada de interés.

    
pregunta Wealot 20.03.2017 - 12:10
fuente

1 respuesta

1

Haciendo referencia a esta respuesta entendería que el navegador podría almacenar en caché la respuesta, por lo tanto, es bueno practique establecer los encabezados para informar al navegador que no debería hacerlo.

Como se trata de una publicación antigua, tenga en cuenta que ahora deberíamos consultar esta sección de rfc 7234 en lugar del 2616 obsoleto. Muchos navegadores modernos ahora interpretan no-cache como no-store como equivalente, aunque por el pequeño precio de establecer el encabezado correcto, establecería explícitamente no-store .

    
respondido por el SilverlightFox 08.04.2017 - 08:54
fuente

Lea otras preguntas en las etiquetas

¿Defendiendo de las solicitudes POST de BURP? ¿Cómo le explicaría el token CSRF a un novato? ¿Cómo es más seguro que el enfoque basado en cookies?