Веб-кеш-обман

Описанная Омером Гилем в 2017 году атака web cache deception эксплуатирует расхождение в разборе путей между фронтенд-кешем и бэкенд-приложением. Атакующий заманивает аутентифицированную жертву на URL вида /account.php/style.css; бэкенд игнорирует суффикс и возвращает страницу аккаунта, а кеш, увидев расширение .css или подходящие правила, сохраняет ответ как публичный. Любой атакующий затем может получить кешированный файл и прочитать приватные данные. Последствия — утечка сессионных токенов и PII. Защита: согласовать разбор путей между кешем и origin, использовать Cache-Control: private для аутентифицированных ответов, ограничивать кешируемые пути, корректно обрабатывать Vary/Authorization.