确保响应不被缓存

Question

我有一个特定的 HTTP 响应，我不想缓存它，因为它包含私有/敏感数据，

我已经将 Cache-Control 设置为 no-store， 它应该处理支持 HTTP/1.1 的客户端。

如何使用 Expires 标头对 HTTP/1.0 执行相同操作？我应该将其设置为 1970 年的任意时间戳吗？是否有一个特殊的值告诉它永远不要缓存？

Answer 1

HTTP RFC 说：

要将响应标记为“已过期”，源服务器会发送一个等于 Date 标头值的 Expires 日期。

您应该将过期标头设置为过去的日期。您还应该在 Cache-Control 标头上设置必须重新验证标志。

过期时间： 1990 年 1 月 1 日星期五 00:00:00 GMT
缓存控制：无缓存，必须重新验证

您可以在 doctype wiki：

过去设置 Expires 标头可确保 HTTP/1.0 和
HTTP/1.1 代理和浏览器不会缓存内容。这
缓存控制指令还告诉 HTTP/1.1 代理不要缓存
内容。即使代理可能被配置为返回过时的内容
当他们不应该时，必须重新验证再次确认他们应该
不要这样做。