Bootcamp X: Document caching

Na początku odsyłam wszystkich do sekcji Document caching w Browser Security Handbook. Później zapraszam pod adresy (tak, w przypadku SSL certyfikat nie jest prawidłowy i tak ma być):

Pod podanym adresem dostępny jest prosty skrypt, przy pomocy którego każdy może sprawdzić jak zachowa się (jego) przeglądarka w przypadku wykorzystania mrocznego przycisku “Wstecz”.

Skrypt pozwala na:

Wartości te mogą być zwrócone w nagłówkach serwera lub w treści strony (http-equiv).

Z przeprowadzonych przeze mnie eksperymentów dla przypadku z przyciskiem “Wstecz”, wynika, że:

Co ciekawe przekazanie nagłówka Cache-Control: no-store w treści strony (http-equiv) wydaje się być ignorowane przez przeglądarki, przy czym wyjątkiem jest to Google Chrome, który wydaje się ten nagłówek uwzględniać, ale tylko wtedy, gdy wykorzystane jest połączenie SSL.

Bardzo nieładnie zachowuje się Opera, której nie udało mi się przekonać do pobrania nowej wersji strony w przypadku użycia przycisku “Wstecz” przy wykorzystaniu żadnej z testowanych kombinacji nagłówków (nie testowałem wszystkich możliwych).

W testach nie uwzględniłem przeglądarki Safari, ponieważ tchórzliwie odmówiła współpracy z DEP. Trudno, nie czuje z tego powodu jakiegoś specjalnego żalu. Kilka “ciepłych słów” należy się również Google Chrome, który uporczywie zawieszał się mniej więcej co trzecie wykorzystanie funkcji Wyczyść dane przeglądania.

W najbliższej przyszłości planuję nieco rozbudować skrypt (obecnie nie pozwala jeszcze ustawić kilku wartości w Cache-Control) a także przyglądnąć się nagłówkom zwracanym przez różne systemy bankowości elektronicznej i sprawdzić jak zachowują się one w różnych przeglądarkach.

Oryginał tego wpisu dostępny jest pod adresem Bootcamp X: Document caching

Autor: Paweł Goleń