问使用HTTPS启用浏览器缓存

EN

我知道敏感数据不应该被缓存(也就是说，您不希望缓存包含所有银行帐户详细信息的HTML文件)，但是HTTPS受保护的站点应该能够缓存一些东西(Javascript、CSS、图像等)。Tomcat似乎不允许开发人员在启用SSL/TLS之后显式地定义一个可缓存的文件，而且我理解即使他们这样做了，用户的浏览器也只对HTTPS会话使用内存中的缓存，并在会话结束后丢弃所有内容。随着整个Web2.0的发展，在我看来，网站运营商会对这样一种能力感兴趣，即减少他们站点上的负载(以及页面加载时间)，同时维护用户浏览器中的“绿色条”，这让我们都有一种温暖而模糊的感觉。

UPDATE:删除了有关用HMAC验证缓存文件的部分，因为它是无用的。如果攻击者利用某种形式的哈希冲突，那么哈希是否使用秘密密钥计算并不重要。