HTTP 标头“Cache-Control: public”有什么风险？

Question

Cache-Control HTTP/1.1 标头可以指定 max-age 以及缓存内容是否可以是公共的或私有的，指示中间缓存是否可以缓存该内容。

例如，Ruby on Rails 的 expires_in() 默认使用 Cache-Control: private

将其公开有什么风险？如果它是公共的，哪些额外的地方可以缓存内容——例如，它会是代理服务器吗？

如果网站像 Amazon.com，但用户是匿名的，那么可能不存在太多隐私问题？如果用户登录了，会不会存在隐私问题，因为数据经过地方，数据是可见的。如果该位置想要“坏”，那么它确实不需要关心 Cache-Control: private 。

如果这是一个用户可以登录的网站，但该网站只搜索鱼油、维生素等保健品怎么办？在这种情况下，涉及的隐私就更少了，因为它不像亚马逊，那里有更多种类的产品，例如用户可以真正更关心隐私问题的书籍。

话虽如此，拥有 Cache-Control: public 的额外优势是什么？

Answer 1

Cache-Control: Public 的问题是响应可能会被缓存并显示给不同的用户。如果您有一个经过身份验证的应用程序显示私有数据，这就会出现问题。一般来说，您应该只对静态页面或无论哪个用户发出请求都返回相同数据的页面使用 public。

Answer 2

我进一步找到了以下规范：

http://www.w3。 org/Protocols/rfc2616/rfc2616-sec14.html#sec14.9.1

公开

表示响应可能是
由任何缓存缓存，即使它会
通常是不可缓存或可缓存的
仅在非共享缓存内。 （看
还有授权，第 14.8 节，用于
其他详细信息。）

私人

表示全部或部分
响应消息的目的是
单用户且不得被缓存
共享缓存。这允许一个原点
服务器声明指定的
部分响应的目的是
只有一个用户并且不是有效的
响应其他用户的请求。
私有（非共享）缓存可以缓存
的回应。注意：此用法
单词 private 仅控制
响应可能会被缓存，但不能
确保消息的私密性
内容。

所以看起来更多的是“共享缓存”而不是中间缓存。