Я видел несколько сайтов онлайн-банкинга, на которых после выхода выдается сообщение с рекомендацией очистить кеш браузера, чтобы обеспечить конфиденциальность моей личной банковской информации.
Это действительно нужно в наши дни? Разве отправка HTTP-заголовка «без кеша» и размещение всего по HTTPS недостаточны, чтобы кто-то не мог просматривать содержимое страниц, которые я посетил?
Они просто осторожны. Если сервер устанавливает правильные заголовки, чтобы убедиться, что ничего не кэшируется на стороне клиента, все должно быть в порядке. Поскольку банк не может контролировать, работает ли браузер так, как он должен, они просят вас убедиться в этом.
Обратите внимание, что заголовок Cache-Control: no-cache не предназначен для того, что вы думаете. Он предназначен для того, чтобы сообщить браузеру повторную проверку на сервере перед использованием его кэшированной версии. Это неявно позволяет браузеру кэшировать запрос. Однако, вероятно, из-за широко распространенного некорректного использования этой директивы, большинство браузеров начали использовать no-cache, что означает «не кэшировать этот контент».
Правильный заголовок, который необходимо отправить серверу, чтобы избежать кеширования, - Cache Control: No-store
Почти каждый крупный браузер не кэширует защищенные страницы автоматически. Если вы используете древний браузер (или очень неясный), это может быть проблемой. Кроме того, большинство браузеров уважают заголовок Cache-Control, который позволяет серверу указывать политику кэширования для браузера.
