0
对于我们的项目,我们的客户在ASP.NET Webforms 4.0应用程序中运行“笔测试”,发现一些他们希望我们解决的安全问题。ASP.NET Webforms - 关闭缓存,但仅限于“页面”,不支持静态内容
迄今为止引起最多讨论的一个发现是应用程序允许页面和内容被缓存,这可能会导致未经授权的用户看到他们不应该看到的数据(这就是“笔测试”发现说,大致)。
建议的“修复”是对cache-control
和pragma
HTTP标头设置为no-cache
避免这种缓存,加入这个我web.config
:
<system.webServer>
<httpProtocol>
<customHeaders>
<add name="Cache-Control" value="no-cache, no-store, must-revalidate, private"/>
<add name="Pragma" value="no-cache"/>
<add name="Expires" value="-1"/>
</customHeaders>
</httpProtocol>
</system.webServer>
但我有点舍不得在全球范围内做到这一点 - 这是否也会关闭应用程序的图像,Javascript和CSS文件的缓存?这可能会对网站性能产生重大负面影响 - 不是吗?
那么我可以做些什么“之间”?阻止实际的ASP.NET页面被它们存在的数据缓存,但是仍然保持静态内容的缓存?如果可能的话:我必须设置什么标题来实现这个目标?
谢谢!