未经许可，不得转载。

前言

阅读本文前，推荐阅读：Web缓存欺骗攻击原理及攻防实战 | CSDN秋说

缓存用于保存响应的副本，以减少后端系统的负载。当缓存接收到 HTTP 请求时，会计算请求的缓存键，并利用该键来判断是否已保存适当的响应，或者是否需要将请求转发至后端。缓存键通常由请求方法、路径、查询字符串、Host 标头以及可能的一两个其他标头组成。在以下请求中，缓存键中未包含的值已用橙色标出。

Cache key：

需要注意的是，缓存本身并不是漏洞。网络应用程序之所以容易受到缓存攻击，通常是因为与其他缺陷（尤其是 XSS）结合，或因配置错误而导致拒绝服务