大家好, 我又来给大家解读浏览器策略了,这次是缓存相关的。
设置缓存大家可能大家都是从性能角度去考虑的,但是如果你不注意或者稍微设置不当,缓存也可能对我们的网站的安全性和用户隐私造成负面影响。
老规矩,先把推荐的配置说出来,后面再啰嗦:
Cache-Control: private
Cookie
相关的,建议设置:Vary: Cookie
那么为啥推荐这两个配置呢?如果不配置会对我们的网站带来什么风险呢?且听我下面的讲解。
提到缓存,大家可能很快就会想到两种缓存方式,以及对应的几个请求头,我们来快速回顾一下。
正常情况下,我们的浏览器客户端会像服务器发起请求,然后服务器会将数据响应返回给客户端。
但是一台服务器可能要对成千上万台客户端的请求进行响应,其中也有非常多是重复的请求,这会对服务器造成非常大的压力。
所以一般我们都会在客户端和服务器间进行一些缓存,对于一些重复的请求数据,如果之前的响应已经被存储到缓存数据库中,满足一定条件的话就会直接去缓存中取,不会到达服务器。
那么,HTTP 缓存一般又分为两种,强缓存和协商缓存:
强缓存,在缓存数据未失效的情况下,客户端可以直接使用缓存数据,不用和数据库进行交互。
那么,判断请求是否失效主要靠两个 HTTP Header:
Expires
:数据的缓存到期时间,下一次请求时,请求时间小于服务端返回的到期时间,直接使用缓存数据。Cache-Control
:可以指定一个 max-age
字段,表示缓存的内容将在一定时间后失效。协商缓存,顾名思义需要和服务器进行一次协商。浏览器第一次请求时,服务器会将缓存标识与数据一起返回给客户端,客户端将二者备份至缓存数据库中。
再次请求数据时,客户端将备份的缓存标识发送给服务器,服务器根据缓存标识进行判断,判断成功后,返回 304 状态码,通知客户端比较成功,可以使用缓存数据。
判断请求主要靠下面两组 HTTP Header:
Last-Modified
:一个 Response Header
,服务器在响应请求时,告诉浏览器资源的最后修改时间。if-Modified-Since
:一个 Request Header
,再次请求服务器时,通过此字段通知服务器上次请求时,服务器返回的资源最后修改时间。服务器会通过收到的 If-Modified-Since
和资源的最后修改时间进行比对,判断是否使用缓存。
Etag
:一个 Response Header
,服务器返回的资源的唯一标示If-None-Match
:一个 Request Header
,再次请求服务器时,通过此字段通知服务器客户段缓存数据的唯一标识。服务器会通过收到的 If-None-Match
和资源的唯一标识进行对比,判断是否使用缓存。
上面提到的知识估计就是平时大家最常背到的,不过大家有没有认真想过一个问题?我们取到的缓存数据,一定缓存在浏览器里面吗?
实际上是不然的:资源的缓存通常是有多级的,一些缓存专门用于单个用户,一些缓存专用于多个用户。有些是由服务器控制的,有些是由用户控制的,有些则由中介层控制。
另外,我们也经常会使用本地配置的代理,这些代理能够通过配置信任证书来缓存 HTTPS
资源。
那么缓存怎么会对我们网站的安全性和用户隐私造成威胁呢?我们来看一个非常有名的漏洞:Spectre
。
攻击者可以利用 Spectre 漏洞
来读取操作系统进程的内存,这意味着可以访问到未经过授权的跨域数据。
特别是在使用一些需要和计算机硬件进行交互的 API 时:
SharedArrayBuffer (required for WebAssembly Threads)
performance.measureMemory()
JS Self-Profiling API
为此,浏览器一度禁用了 SharedArrayBuffer
等高风险的 API。
这个漏洞其实在我之前的多个文章中都有提到过,其实浏览器出过的很多安全策略都和它有关:
很多小伙伴对它具体的攻击原理感兴趣,通过几个 JavaScript API
怎么做到越权访问数据的?这个下次我会专门出个文章来讲一下。
那么 Spectre
和缓存有啥关系呢?我们可以简单的这样理解下:
我们正常打开一个收到跨域限制的页面,肯定是获取不到数据的。但是如果我们的 Cache-Control
设置为了 Public
,这份数据可能会被缓存到一个 Public Cache
上(比如我们本地代理的 Cache
)。
虽然我们是没有权限访问这个数据的,但是数据却被存到缓存数据库里了。一旦数据已经被存下来了,攻击者就可以利用 Spectre
漏洞获取到这些缓存数据了。
那么为啥利用 Spectre
可以越权访问到这些缓存数据呢?我们来举个简单的小例子:
比如,我们有个网站的登录密码是 conardli
,一个攻击者想要爆破我们的密码,假设我们的密码一定由小写字母组成,那攻击者也至少需要 26 的 8 次方次来猜出我们的密码。这是一个非常大的数字,几乎不可能爆破成功。
假设,我们的密码存在了一块攻击者无权限访问到的内存里,然后攻击者自己又单独使用一块内存存储了所有的26个英文字母,并把这段内存设置为不可缓存。
那么这个时候,攻击者越界访问了我们密码的存储区域,访问到了 c 这个字母,但是由于权限问题,他肯定是访问不到的,会被计算机拒绝。
但是虽然访问不到,c 这个字母会被缓存起来。
这时,攻击者再回去遍历他那 26 个字母的内存,会发现,c 的访问速度变快了 ...
所以,你的密码第一个数字是 c ...
这里就简单讲一下,下篇文章我会专门来讲一下 Spectre
漏洞,还是非常巧妙的 ... 感兴趣的小伙伴可以再留言区告诉我。
因为上面的问题,我们建议对所有比较重要的网站数据做下面的两个配置:
设置 Cache-Control: private
,这可以禁用掉所有 Public Cache
(比如代理),这就减少了攻击者跨界访问到公共内存的可能性。
这里注意,private
这个值并不是一个独立的值,比如他是可以和 max-age 进行共存的,性能和 public 差不了多少,我们打开 Google 的网站来看一下:
默认情况下,我们浏览器的缓存使用 URL 和 请求方法来做缓存 key 的。
这意味着,如果一个网站需要登录,不同用户的请求由于它们的请求URL和方法相同,数据会被缓存到一块内存里。
这显然是有点问题,我们可以通过设置 Vary: Cookie
来避免这个问题。
当用户身份信息发生变化的时候,缓存的内存也会发生变化。
当然,如果你的资源是一个大家都可以访问的公共 CDN 资源,那你的缓存当然是随便设置了,如果你的资源数据是比较敏感的,建议走上面这两个设置。
大家有在业务里设置过缓存吗?都是怎么设置的呢?有考虑过这个问题吗?欢迎在留言区告诉我。
本文由哈喽比特于2年以前收录,如有侵权请联系我们。
文章来源:https://mp.weixin.qq.com/s/43pa04szJ2zU_IyVP4LraQ
京东创始人刘强东和其妻子章泽天最近成为了互联网舆论关注的焦点。有关他们“移民美国”和在美国购买豪宅的传言在互联网上广泛传播。然而,京东官方通过微博发言人发布的消息澄清了这些传言,称这些言论纯属虚假信息和蓄意捏造。
日前,据博主“@超能数码君老周”爆料,国内三大运营商中国移动、中国电信和中国联通预计将集体采购百万台规模的华为Mate60系列手机。
据报道,荷兰半导体设备公司ASML正看到美国对华遏制政策的负面影响。阿斯麦(ASML)CEO彼得·温宁克在一档电视节目中分享了他对中国大陆问题以及该公司面临的出口管制和保护主义的看法。彼得曾在多个场合表达了他对出口管制以及中荷经济关系的担忧。
今年早些时候,抖音悄然上线了一款名为“青桃”的 App,Slogan 为“看见你的热爱”,根据应用介绍可知,“青桃”是一个属于年轻人的兴趣知识视频平台,由抖音官方出品的中长视频关联版本,整体风格有些类似B站。
日前,威马汽车首席数据官梅松林转发了一份“世界各国地区拥车率排行榜”,同时,他发文表示:中国汽车普及率低于非洲国家尼日利亚,每百户家庭仅17户有车。意大利世界排名第一,每十户中九户有车。
近日,一项新的研究发现,维生素 C 和 E 等抗氧化剂会激活一种机制,刺激癌症肿瘤中新血管的生长,帮助它们生长和扩散。
据媒体援引消息人士报道,苹果公司正在测试使用3D打印技术来生产其智能手表的钢质底盘。消息传出后,3D系统一度大涨超10%,不过截至周三收盘,该股涨幅回落至2%以内。
9月2日,坐拥千万粉丝的网红主播“秀才”账号被封禁,在社交媒体平台上引发热议。平台相关负责人表示,“秀才”账号违反平台相关规定,已封禁。据知情人士透露,秀才近期被举报存在违法行为,这可能是他被封禁的部分原因。据悉,“秀才”年龄39岁,是安徽省亳州市蒙城县人,抖音网红,粉丝数量超1200万。他曾被称为“中老年...
9月3日消息,亚马逊的一些股东,包括持有该公司股票的一家养老基金,日前对亚马逊、其创始人贝索斯和其董事会提起诉讼,指控他们在为 Project Kuiper 卫星星座项目购买发射服务时“违反了信义义务”。
据消息,为推广自家应用,苹果现推出了一个名为“Apps by Apple”的网站,展示了苹果为旗下产品(如 iPhone、iPad、Apple Watch、Mac 和 Apple TV)开发的各种应用程序。
特斯拉本周在美国大幅下调Model S和X售价,引发了该公司一些最坚定支持者的不满。知名特斯拉多头、未来基金(Future Fund)管理合伙人加里·布莱克发帖称,降价是一种“短期麻醉剂”,会让潜在客户等待进一步降价。
据外媒9月2日报道,荷兰半导体设备制造商阿斯麦称,尽管荷兰政府颁布的半导体设备出口管制新规9月正式生效,但该公司已获得在2023年底以前向中国运送受限制芯片制造机器的许可。
近日,根据美国证券交易委员会的文件显示,苹果卫星服务提供商 Globalstar 近期向马斯克旗下的 SpaceX 支付 6400 万美元(约 4.65 亿元人民币)。用于在 2023-2025 年期间,发射卫星,进一步扩展苹果 iPhone 系列的 SOS 卫星服务。
据报道,马斯克旗下社交平台𝕏(推特)日前调整了隐私政策,允许 𝕏 使用用户发布的信息来训练其人工智能(AI)模型。新的隐私政策将于 9 月 29 日生效。新政策规定,𝕏可能会使用所收集到的平台信息和公开可用的信息,来帮助训练 𝕏 的机器学习或人工智能模型。
9月2日,荣耀CEO赵明在采访中谈及华为手机回归时表示,替老同事们高兴,觉得手机行业,由于华为的回归,让竞争充满了更多的可能性和更多的魅力,对行业来说也是件好事。
《自然》30日发表的一篇论文报道了一个名为Swift的人工智能(AI)系统,该系统驾驶无人机的能力可在真实世界中一对一冠军赛里战胜人类对手。
近日,非营利组织纽约真菌学会(NYMS)发出警告,表示亚马逊为代表的电商平台上,充斥着各种AI生成的蘑菇觅食科普书籍,其中存在诸多错误。
社交媒体平台𝕏(原推特)新隐私政策提到:“在您同意的情况下,我们可能出于安全、安保和身份识别目的收集和使用您的生物识别信息。”
2023年德国柏林消费电子展上,各大企业都带来了最新的理念和产品,而高端化、本土化的中国产品正在不断吸引欧洲等国际市场的目光。
罗永浩日前在直播中吐槽苹果即将推出的 iPhone 新品,具体内容为:“以我对我‘子公司’的了解,我认为 iPhone 15 跟 iPhone 14 不会有什么区别的,除了序(列)号变了,这个‘不要脸’的东西,这个‘臭厨子’。