Nastavení cache header po odeslání formuláře

dms
Člen | 94
+
0
-

Ahoj,

dostal jsem výstup z pentestu na jednom nette webu, kdy při odeslání formuláře je problém s uložením dat do keše prohlížeče protože nevrátí hlavičku:

Cache-Control: must-revalidate, max-age=0, s-maxage=0
Expires: 0

Jde o případ kdy se formulář odešle s chybně vyplněnou položkou a pak se tedy znovu zobrazí předvyplněný návštěvníkovi aby mohl data upravit. V tento moment se uloží HTML do keše a dá se k těmto datům pak dostat. Zneužitelnost je zde myslím že úplně minimální, protože musí útočník mít přístup k tomu PC a hledat v keši prohlížeče konkrétní věci.

Hlavičky si doplním to není problém, ale můj dotaz je spíš zda by se tyto hlavičky neměly v případě takto odeslaného formuláře nastavit automaticky? nebo to nedává v defaultním nastavením smysl a je třeba každý formulář pak takto nastavit?