安全圈有人提了一嘴 - 91网页版;关于缓存设置的说法,原来大家都误会了!!线索都指向同一个答案
安全圈有人提了一嘴 - 91网页版;关于缓存设置的说法,原来大家都误会了!!线索都指向同一个答案
最近在安全圈和前端交流群里,关于“缓存设置是不是导致某些页面被误缓存或泄露用户信息”的讨论又火了——话题里最常点名的就是像 91 这类需要登录/个人化内容较多的网页版。大家纷纷给出“解决方案”,结果越说越乱:有人主张全站长时间缓存,有人主张全部 no-cache,还有人把 Cache-Control、ETag、Expires 搞得云里雾里。把线索串起来看,会发现大家其实都把缓存的语义和作用混淆了,真正的问题和答案集中在同一处:没有区分“什么内容该被缓存、以什么策略被缓存、谁能看到缓存的内容”。下面把这些误会拆开,给出可立刻落地的建议。
常见误解(以及为什么是错的)
- “no-cache = 不缓存”
真相:no-cache 要求在使用缓存前向源服务器重新验证(validate),并不等于“不存储”。如果想完全不在任何中间层或浏览器保存,应该用 no-store。 - “max-age=0 就是禁止缓存”
真相:max-age=0 表示资源已经过期,需要重新验证;和 no-store 不同,它仍然允许验证后使用缓存内容。 - “ETag 一定能替换 Expires/Cache-Control”
真相:ETag 用于条件请求(If-None-Match)来判断资源是否改变,适合做协商缓存;但在 CDN 或代理层,ETag 有时会被移除或失效,不能当作唯一依赖。 - “给所有资源设置很长的过期时间就能提高性能”
真相:这对静态、指纹化(fingerprinting)资源有效;但若对 HTML 或带有用户会话的页面这么做,会造成个别用户页面被其他用户或 proxy 缓存,带来隐私/安全问题。 - “只要 https 就安全,可以缓存任何内容”
真相:HTTPS 只保护传输通道,缓存策略仍然决定资源是否在客户端或中间缓存中被持久化。敏感页面在 HTTPS 下也可能被浏览器/共享代理缓存。
缓存机制的核心要点(简明版)
- 区分资源类型:静态资源(图片、CSS、JS)、动态页面(用户专属视图)、API 数据、登录/支付/隐私页面,分别采用不同策略。
- public vs private:public 允许共享缓存(CDN/代理),private 仅限客户端私有缓存。
- no-store 用于极敏感响应(登录表单、支付结果等),防止任何缓存。
- no-cache / max-age=0 + must-revalidate 适合需要每次确认最新状态但仍想减少带宽的场景。
- 对静态资源采用长期缓存 + 文件指纹化(hash 文件名),并配合 immutable 可最大化性能。
- 验证机制(ETag / Last-Modified)适用于非指纹化资源的协商缓存,但要注意 CDN 行为。
针对“91网页版”这类站点的实操建议(可直接上生产环境) 1) 静态资源(带指纹)
- Headers 推荐:
- Cache-Control: public, max-age=31536000, immutable
- 或 Expires 设置为远期日期
- 策略:构建时对文件名加 hash(如 app.abc123.js),发布新版本时变更文件名以便强缓存失效。
2) HTML 页面(主页、频道页)
- Headers 推荐:
- Cache-Control: no-cache, must-revalidate
- 原则:允许缓存但每次使用前向源验证,防止旧的页面内容长时间被展示,同时减轻带宽。
3) 用户个人页 / 登录后页面 / 敏感操作页
- Headers 推荐:
- Cache-Control: no-store, no-cache, must-revalidate
- Pragma: no-cache(兼容旧代理)
- 原则:禁止任何形式的持久缓存,避免用户间数据交叉或被代理缓存。
4) API(带鉴权的接口)
- Headers 推荐:
- Cache-Control: private, no-store 或 Cache-Control: no-store
- 原则:鉴权数据不应进入共享缓存,短缓存验证策略可用于公共且非敏感的 API。
5) CDN 与代理配置
- 确保 CDN respect origin headers 或在 CDN 层显式设置与源一致的缓存策略。
- 为带 cookie 的请求(如用户区域)禁用 CDN 公共缓存,或使用 “Vary: Cookie” 但需谨慎(会降低缓存命中率)。
- 采用 CDN 提供的 Purge API 或版本化文件名来做缓存失效管理,避免手工清理不及时。
6) Service Worker 的注意点
- Service Worker 能精细控制缓存,但写错策略容易把敏感响应缓存到客户端。对登录态请求在 SW 中不做持久化预缓存,必要时做 runtime cache 并设置短期失效或条件校验。
如何验证和排查(线索都指向的常见问题)
- 使用 curl -I 查看响应头(例如:curl -I https://example.com/page)
- 浏览器开发者工具 Network 标签:看响应头、缓存命中率、Size 列的 “from disk cache/from memory cache” 标识
- 检查是否把 HTML 或带 Cookie 的响应设置了长缓存(max-age 很大),这是最常见导致“错缓存/隐私泄露”的根源
- 查 CDN 日志与配置:很多时候问题出在 CDN 覆盖了源头设置或没有区分带 Cookie 的路径
- 若出现个别用户看到别人的页面,先检查是否有 shared proxy/缓存并且响应被设置为 public
快速核对清单(发布前跑一遍)
- 静态资源是否指纹化并设置远期缓存?yes/no
- HTML 是否使用 no-cache(需验证)而非 long max-age?yes/no
- 登录/支付页是否使用 no-store?yes/no
- CDN 是否尊重并正确配置 Vary/Cache-Control?yes/no
- 本地测试(curl/devtools)是否得到与预期一致的缓存头?yes/no
结语 很多争论来自对缓存头语义的误读以及对不同缓存层(浏览器、CDN、代理)的混淆。把“资源类型”和“缓存策略”做明确划分,再配合文件指纹、合理的 Cache-Control 与 no-store/no-cache 的使用,就能把性能和安全的矛盾化解掉。把检测当成发布流程的一部分,遇到问题先看响应头、再看 CDN 配置——多数线索都会引向相同的根因:缓存策略配置不当,而不是缓存技术本身。
需要的话,我可以把上面推荐的 Header 直接写成 Nginx/Apache/Caddy 的配置片段,或者帮你检查几个具体 URL 的响应头,找出到底是哪一条设置在作怪。要不要现在就贴几个你站点的示例链接,我帮你快速诊断?