(1)对于任何通过HTTP访问和包含敏感数据的应用程序页面,应检查服务器响应的内容, 确定所有缓存指令。
(2)下面的指令可阻止浏览器缓存某个页面。注意,这些指令可以在HTTP响应消息头或HTML元标签中指定。
(3)如果未发现这些指令,相关页面很可能会被一个或几个浏览器缓存。注意,每个页面都会执行缓存指令,因此必须检查每一个基于HTTP的敏感页面。
(4)为确保缓存敏感信息,应使用一个默认安装的标准浏览器,如Internet Explorer或Firefox。在浏览器的配置中,完全清除它的缓存和全部cookie,然后访问包含敏感数据的应用程序页面。检查出现在缓存中的文件,看其中是否包含敏感数据。如果有大量文件生成,可以从页面的源代码中提取一个特殊的字符串,并在缓存中搜索该字符串。
常用浏览器的默认缓存位置如下。
Internet Explorer——C:\Documents and Settings\用户名\Local Settings\Temporary Internet Files\Content.IE5的子目录。
注意,在Windows Explorer中,要查看这个文件夹,必须输入准确的路径并显示隐藏的文件夹,或通过命令行浏览至这个文件夹。
Firefox(Windows中)——C:\Documents and Settings\用户名\Local Settings\Application Data\Mozilla\Firefox\Profiles\配置文件名\Cache。
Firefox(Linux中)——~/.mozilla/firefox/配置文件名/Cache。