[B! cache] kzm1760のブックマーク

kzm1760 id:kzm1760

cacheに関するkzm1760のブックマーク (2)

キャッシュ制御不備の脆弱性にご用心
古い書籍に掲載されたPHP記述の掲示板ソフトを動かしていると、ログアウト処理がうまく動作していないことに気がつきました。チェックの方法ですが、ログアウト処理の脆弱性検査の簡単なものは、「安全なウェブサイトの作り方」別冊の「ウェブ健康診断仕様」に記載されています。 (J)認証ログアウト機能はあるか、適切に実装されているかログアウト機能がない、あるいはログアウト後「戻る」ボタンでセッションを再開できる場合この仕様書にある通り、『ログアウト後「戻る」ボタンでセッションを再開できる』状態でした。おそらくセッション破棄がきちんと書かれていないのだろうと思いログアウト部分のソースを見ると、以下の様な処理内容でした（オリジナルからはリライトしています）。 <?php // logout.php require_once('common.php'); // 共通の設定・処理 session_sta
kzm1760 2020/02/03
キャッシュ

cache

PHP

セキュリティ
リンク
ブラウザのキャッシュコントロールを正しく理解する - Qiita [キータ]
①ブラウザに一切、キャッシュさせたくない場合サーバからクライアントへのHTTP応答ヘッダ → Cache-Control "no-cache" アクセス毎に内容が変わったり、サーバにアクセスしてもらわないと困るようなコンコンテンツの場合です。スクリプト言語等で生成する動的コンテンツは、このようにした方が安全です。例えば対象コンテンツが画像である場合、ブラウザで同じ画像のURLが含まれたHTMLを開いた場合は、もちろんローカルにキャッシュがないので、サーバへ問い合わせを行う条件つきリクエスト（If-Modified-Since、If-None-Match）もサーバへ送ってこない ②ブラウザにキャッシュさせるけど、変更ないか都度確認するようにしたいサーバからクライアントへのHTTP応答ヘッダ → Cache-Control "max-age=0" → Expires "Mon, 2
kzm1760 2020/02/03
キャッシュ

cache

ブラウザ
リンク
1