Security 为什么使用可缓存的https响应是错误的？

所以，最近我对一个网页进行了安全扫描。在一项建议中，它说为image/js/font文件缓存Https响应，这似乎违反直觉。这一建议似乎是不同安全产品之间的共识

那么，为什么在HTTP或HTTPS模式下缓存静态文件很重要呢？我认为现代的做法是使用HTTPS来避免篡改，使用浏览器缓存来避免额外下载

---

最后，如果我们想在HTTPS模式下缓存静态内容，正确的做法是什么？添加额外的逻辑使其改为调用HTTP？这似乎是一个糟糕的想法。

这是一个警告，旨在保护人们不在不知不觉中允许缓存私人响应。这些描述都表明，如果敏感信息存储在缓存中，则会发生一些变化。。。。注意If

---

如果您有意允许缓存内容，那么就没有问题。我假设该工具仅在安全请求时显示此信息，因为假定此类信息可能是敏感的。

有意义。所以，我认为没有比HTTPS更正确的缓存方式了？@kainr2：没有比HTTPS更正确的方式了。一个工具可能只是抱怨缺少头，而不是包含允许缓存的特定头，因为这更可能是无意的。但这取决于工具，我个人不会仅仅为了消除工具中的误报而改变缓存行为。