我们的银行应用程序刚刚通过了渗透测试。其中一个发现是,如果您在Mozilla中执行"about:cache"然后选择"列出缓存条目",则可以从该应用程序中看到所有缓存。问题是即使我们已经在 apache Web 服务器 httpd.config 文件中设置了 ff,我们也无法阻止这种情况(见下文(
Cache-Control: no-cache, no-store, private, must-revalidate, max-age=0
Pragma: no-cache
Expires: 0
Vary: *
我们还需要做什么吗?
这是供应商的问题。正确的标头已到位,这是迄今为止修复和测试不正确的缓存控制的行业标准方法。
似乎您已经尽了自己的一份力量来设置适当的缓存控件。如果 Firefox 仍然缓存它,那就是浏览器的错误/怪癖/功能。如果他们坚持以这种方式进行测试,我会反驳并要求供应商提供指导。我有一种感觉,他们会解决这个问题。