问缓存控制机制

EN

HTTP(S)缓存是在RFC 7234中定义的；目前没有任何替代文档，因此您应该参考以下内容。

no-cache响应指令有点用词不当。它并不禁止缓存文档。它允许缓存文档，但它立即被认为是过时的，在使用之前必须在源服务器上重新验证。您将注意到，这与max-age=0, must-revalidate的语义完全相同。在这两种情况下，内容都被缓存，如果服务器向验证请求发送304响应，则可以使用缓存的文档。

若要实际请求缓存而不缓存文档，请使用no-store。在这种情况下，甚至不需要严格指定no-cache，因为文档无论如何都不会被缓存！但这可能比单独使用no-cache慢得多，因为每次用户访问文档时都必须重新下载整个文档。

也许您使用的Cache-Control指令中有一个没有包含no-store的事实就是您的前辈所指的，尽管将其称为“漏洞”严重夸大了问题，而且这是否是安全问题(尽管这通常是隐私问题)取决于您所提供的内容。

在发送特定于用户的信息的大多数上下文中，设置Cache-Control: private并允许用户浏览器缓存数据就足够了，而共享缓存不会缓存数据。我想不出有多少真的需要no-stored，除了私钥，核发射码，每15秒改变一次的数据，等等。