Nastavení cache header po odeslání formuláře
- dms
- Člen | 93
Ahoj,
dostal jsem výstup z pentestu na jednom nette webu, kdy při odeslání formuláře je problém s uložením dat do keše prohlížeče protože nevrátí hlavičku:
Cache-Control: must-revalidate, max-age=0, s-maxage=0
Expires: 0
Jde o případ kdy se formulář odešle s chybně vyplněnou položkou a pak se tedy znovu zobrazí předvyplněný návštěvníkovi aby mohl data upravit. V tento moment se uloží HTML do keše a dá se k těmto datům pak dostat. Zneužitelnost je zde myslím že úplně minimální, protože musí útočník mít přístup k tomu PC a hledat v keši prohlížeče konkrétní věci.
Hlavičky si doplním to není problém, ale můj dotaz je spíš zda by se tyto hlavičky neměly v případě takto odeslaného formuláře nastavit automaticky? nebo to nedává v defaultním nastavením smysl a je třeba každý formulář pak takto nastavit?