你有没有想过,平时浏览网页时自动加载的图片、登录状态,甚至是搜索记录,其实都悄悄存进了浏览器缓存里?这些数据让上网更快更方便,但同时也可能成为黑客下手的目标。
缓存到底存了些什么
浏览器缓存不只是存个图片那么简单。它会保存网页的HTML文件、CSS样式、JavaScript脚本,甚至包括你在表单里填过的用户名、密码(哪怕没提交)、搜索关键词。有些网站还会把用户ID或登录令牌写进缓存资源里,比如一个带token的头像链接:
<img src="https://example.com/avatar?user=123&token=abcxyz">黑客怎么偷看你的缓存
别以为缓存只有你自己能访问。如果黑客在你访问的网页里植入恶意脚本,就能通过一些技术手段探测甚至提取缓存内容。比如,利用时间差判断某个资源是否已缓存——加载快的是本地缓存,慢的是从服务器重新下载。这样就能推断出你是否访问过某类网站,比如银行、社交平台。
更危险的是,某些老旧或配置不当的网站,可能把敏感接口的数据也放进缓存。黑客只要诱导你点开一个伪装成普通网页的恶意页面,里面的JavaScript就能尝试加载这些缓存资源,再通过跨站请求的方式把数据传出去。
真实场景:你以为清空历史就安全了?
小李用公司电脑登录过个人邮箱,后来虽然关了页面,也没记住密码,但他不知道浏览器已经把部分接口数据缓存下来。同事发来一个“搞笑GIF”的链接,他一点开,对方其实通过脚本扫描了他的缓存,发现了邮箱相关的API请求痕迹,进而推测出他登录过哪个账号。
怎么降低风险
不用缓存显然不现实,但可以控制它的“杀伤力”。建议开启浏览器的隐私模式处理敏感操作,比如网银、后台管理。另外,定期手动清除缓存,尤其是用公共电脑后。在Chrome或Edge中,可以直接按 Ctrl+Shift+Delete 调出清除窗口,勾选“缓存的图像和文件”。
对于网站开发者来说,不该让包含用户信息的URL被缓存,可以通过设置HTTP响应头来限制:
Cache-Control: no-store
Pragma: no-cache现代浏览器也在加强防护,比如SameSite Cookie策略、第三方缓存隔离等,但前提是你得保持系统和浏览器更新。别嫌烦,那些“更新重启”的提示,很多时候就是在堵漏洞。