瀏覽器緩存靜態內容不利嗎？

Question

我一直在做一些OWASP測試和低級別的威脅之一是：

Low (Medium) Incomplete or No Cache-control and Pragma HTTP Header Set 

Description 

The cache-control and pragma HTTP header have not been set properly or are missing allowing the browser and proxies to cache content. 

URL 

<redacted url> 

Evidence 

public, must-revalidate, proxy-revalidate 

從OWASP的建議是爲了防止被緩存的內容......但是這並沒有任何意義。如果某些內容被瀏覽器緩存，我認爲它有助於頁面加載速度？另外，如何將靜態內容緩存爲安全威脅？

Answer 1

這對性能有利。

如果這些頁面包含敏感信息，則對安全性不利。如果這些標題未設置，那麼即使您退出網站，只要使用「後退」按鈕，有權訪問您計算機的人也可以從您的歷史記錄中訪問這些頁面。中間代理也可以緩存頁面。安全是所有關於上下文的 - 如果在那裏沒有敏感信息，那麼這不是問題。