Http响应头里Cache-Control:no-cache、max-age=""和no-store

最新推荐文章于 2025-11-10 15:35:40 发布
原创 最新推荐文章于 2025-11-10 15:35:40 发布 · 3.1w 阅读 · 19 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Cache-Control:no-cache #Cache-Control:max-age=""

本文详细解析了HTTP缓存控制机制中的Cache-Control指令及其不同属性的作用,包括no-cache、public、no-store、must-revalidate等,并对比了HTTP/1.0与HTTP/1.1中的缓存控制差异。

响应头:Cache-Control:no-cache,强制每次请求直接发送给源服务器,而不经过本地缓存版本的校验。这对于需要确认认证应用很有用(可以和public结合使用),或者严格要求使用最新数据 的应用(不惜牺牲使用缓存的所有好处)

通俗解释:浏览器通知服务器,本地没有缓存数据

//===============================================================================

cache-control :
                       max-age>0 时 直接从游览器缓存中 提取 
                       max-age<=0 时 向server 发送http 请求确认 ,该资源是否有修改 
有的话 返回200 ,无的话 返回304。

通俗解释:
        响应头中的 Cache-Control:max-age=315360000 是通知浏览器:315360000 秒之内不要烦我,自己从缓冲区中刷新。

拓展:

HTTP1.0

HTTP1.0中通过Pragma 控制页面缓存,通常设置的值为no- cache,不过这个值不这么保险,通常还加上Expires置为0来达到目的。但是如我们刻意需要浏览器或缓存服务器缓存住我们的页面这个值则要设置为 Pragma。

HTTP1.1

HTTP1.1中启用Cache-Control 来控制页面的缓存与否,这里介绍几个常用的参数:

  • no-cache,浏览器和缓存服务器都不应该缓存页面信息;
  • public,浏览器和缓存服务器都可以缓存页面信息;
  • no-store,请求和响应的信息都不应该被存储在对方的磁盘系统中;
  • must-revalidate,对于客户机的每次请求,代理服务器必须想服务器验证缓存是否过时

目前Cache-Control请求字段被各个浏览器支持的较好,其优先级也比较高,当和别的字段(如Expires)一起用时,会覆盖其他字段。

SAP Gateway 错误消息与问题诊断全案:围绕 Cache-ControlNot-Modified 与 $expand 的实战解析
2007 年 ~ 2025 年,深耕 SAP 技术 18 年
11-10 49
本文深入解析SAP Gateway开发中的三大常见问题:缓存控制、304响应条件以及$expand实现差异。针对缓存配置,明确了max-ageno-cache的互斥规则,并提供了三种典型配置方案。对于条件请求,详细说明了If-Modified-Since与Is-Not-Modified的正确使用方式,包括相关错误约束。同时剖析了framework $expand与data provider $expand的性能差异限制条件,特别强调了两者对304响应的不同处理规则。文中包含可直接复用的ABAP代码示例,
HTTP协议20丨生鲜速递:HTTP的缓存控制
qq_53280238的博客
07-08 930
缓存(Cache)是计算机领域里的一个重要概念,是优化系统性能的利器。由于链路漫长,网络时延不可控,浏览器使用 HTTP 获取资源的成本较高。所以,非常有必要把“来之不易”的数据缓存起来,下次再请求的时候尽可能地复用。这样,就可以避免多次请求 - 应答的通信成本,节约网络带宽,也可以加快响应速度。试想一下,如果有几十 K 甚至几十 M 的数据,不是从网络而是从本地磁盘获取,那将是多么大的一笔节省,免去多少等待的时间。实际上,HTTP 传输的每一个环节基本上都会有缓存,非常复杂。
说说HTTP缓存Cache-Control响应
IT部落格
02-20 1万+
前言 除非特别说明,否则以下内容结论均经过实际测试并验证,测试用的浏览器:Google Chrome 98.0.4758.102正式版。 例子 先看下响应Cache-Control的一些常见用法。 第一种:Cache-Control:max-age=N 浏览器获取到资源内容后,将资源内容缓存在本地,缓存有效期是N秒。 若过期前再次访问资源,直接使用本地缓存;过期后再访问,则向服务器发请求,若服务器检查资源没有更新,则返回304状态码;如果有更新,则返回200状态码以及新的资源内容。同时浏览器延长本地资源
http协议中缓存Cache-Control详解
jkzyx123的博客
03-27 2601
http协议中缓存Cache-Control
nginx中配置Cache-Control
最新发布
petunsecn的专栏
11-10 937
网站资源访问本配置缓存策略Cache-Control
一文读懂前端缓存
弑晓风
09-20 790
一文读懂前端缓存           前端缓存/后端缓存 我们先进入定义环节:什么是前端缓存?与之相对的什么又是后端缓存?   基本的网络请求就是三个步骤:请求,处理,响应。 后端缓存主要集中于“处理”步骤,通过保留数据库连接,存储处理结果等方式缩短处理时间,尽快进入“响应”步骤。当然这不在本文的讨论范围之内。 而前端缓存则可以在剩下的两步:“请...
一文搞定浏览器缓存
qq_42132166的博客
08-28 2038
客户端代理服务器都可以缓存该资源;客户端在xxx秒的有效期内,如果有请求该资源的需求的话就直接读取缓存,statu code:200 ,如果用户做了刷新操作,就向服务器发起http请求只让客户端可以缓存该资源;代理服务器不缓存客户端在xxx秒内直接读取缓存,statu code:200客户端在xxx秒的有效期内,如果有请求该资源的需求的话就直接读取缓存,statu code:200 ,即使用户做了刷新操作,也不向服务器发起http请求跳过设置强缓存,但是不妨碍设置协商缓存;...
HTTP 头部中包含 ‘cache-control:no-cache‘ 时, 是不是禁止缓存?
weixin_43254015的博客
06-16 5982
在客户端收到带有 'no-cache' 指令的响应后,客户端会发送一个条件请求到服务器,以确认缓存的响应是否仍然有效。服务器会比较条件请求中的验证信息(如 ETag 或 Last-Modified 时间戳)与服务器上资源的当前状态进行比较。如果资源没有发生变化,服务器可能会返回一个特殊的响应状态码(例如 304 Not Modified),告诉客户端可以使用缓存的副本。
请求头Cache-Control: no-cache,Cache-Control: no-store,Pragma: no-cache区别
牧xin的博客
04-22 8722
Cache-Control: no-cache:这个很容易让人产生误解,使人误以为是响应不被缓存。实际上Cache-Control: no-cache是会被缓存的,只不过每次在向客户端(浏览器)提供响应数据时,缓存都要向服务器评估缓存响应的有效性。 Cache-Control: no-store:这个才是响应不被缓存的意思。 Pragma: no-cache:跟Cache-Control: no-...
【性能优化】强制缓存|协商缓存--实用知识
坚信万物皆可切的切图仔
08-24 3870
强制缓存 强制缓存:设置缓存机制后,前端第一次请求到资源会把资源缓存到客户端,如果下次请求时资源没有过期,那么直接调用本地缓存的资源,如果过期则重新发送请求。 注意点: 1. 强制缓存由服务端开启,设置响应Cache-Controlmax-age设置资源缓存时长 no-cache禁止缓存 2. 客户端设置请求头Cache-Control,只有为:’no-store’ | ‘no-cache’ | ‘max-age=0’才会生效(也就是客户端不想走强制缓存的时候生效),除非后端对这个字段做
http请求之头部信息参数详解
测试入坑之路
01-09 5927
Transfer-Encoding: chunked使用,就不必申请一个很大的字节数组了,可以一块一块的输出,更科学,占用资源更少 no-cache 防止从缓存中返回过去的资源,请求中如包含该命令,表示客户端不会接收缓存过的响应,必须向源放武器转发请求 如果响应中包含该命令,那么缓存服务器不能对其资源进行缓存,且源服务器也将不在对缓存服务器请求中提出的资源有效性进行确认,且禁止其对相应资源进行缓存...
二十七----浏览器存储
chujinmaolu的博客
09-18 201
所谓的跨页面使用指的是:你在浏览器里打开了两个窗口,一个访问的是。cooick产生的背景是因为,HTTP是无状态协议,在没有cooick之前,HTTP的请求头是没有任何状态标记的,这就导致一个问题,一、同源策略是浏览器的一个安全策略,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。发送的时候,也不会携带到的请求头中去,防止一些安全问题的产生,因不会放到请求头中,因此也减少了不必要的流量开销。(会话存储)这两个,这两个相比于cookie,在可存储的大小上,有了质的提升,可以存储4M左右的数据。
Cache-Control: no-cache,Cac…
墨鱼的博客
03-04 646
Cache-Control: no-cache:这个很容易让人产生误解,使人误以为是响应不被缓存。实际上Cache-Control: no-cache是会被缓存的,只不过每次在向客户端(浏览器)提供响应数据时,缓存都要向服务器评估缓存响应的有效性。   Cache-Control: no-store:这个才是响应不被缓存的意思。   Pragma: no-cache:跟Cache-Cont
php编码header中的Cache-control参数说明
binger819623的专栏
07-03 1385
网页的缓存是由HTTP消息头中的“Cache-control”来控制的,常见的取值有private、no-cachemax-age、must-revalidate等,默认为private。其作用根据不同的重新浏览方式分为以下几种情况: (1) 打开新窗口值为private、no-cache、must-revalidate,那么打开新窗口访问时都会重新访问服务器。而如果指定了max
HTTP/1.1通用首部字段—Cache-Control的指令no-cache
weixin_36722711的博客
07-31 1243
Cache-Control:no-cache 使用no-cache指令的目的是为了防止从缓存中返回过期的资源。 客户端:客户端发送的请求中如果包含no-cache指令,则表示客户端将不会接受缓存过的响应,于是,“中间”的缓存服务器必须把客户端请求转发给原服务器。 服务器:如果服务器返回的响应中包含no-cache指令,那么缓存服务器不能对资源进行缓存。源服务器以后也将不再对缓存服务器请求中提...
Cache-Control: no-cache,Cache-Control: no-store,Pragma: no-cache区别
热门推荐
破剑冰
08-18 7万+
Cache-Control: no-cache:这个很容易让人产生误解,使人误以为是响应不被缓存。实际上Cache-Control: no-cache是会被缓存的,只不过每次在向客户端(浏览器)提供响应数据时,缓存都要向服务器评估缓存响应的有效性。 Cache-Control: no-store:这个才是响应不被缓存的意思。 Pragma: no-cache:跟Cache-Cont
浏览器缓存控制Cache-Controlno-cache(允许缓存资源,但使用前必须向服务器验证)与no-store(完全禁止缓存,不允许存储任何资源副本)
Dontla的博客
04-29 2013
工作机制: 适用场景:工作机制: 适用场景: 性能影响 : 可能减少带宽使用,但不减少请求次数 : 始终消耗最大带宽,无缓存优化可能 正确选择这两种指令对网站性能数据安全性有重要影响。ᅟᅠ        ‌‍ᅟᅠ        ‌‍ᅟᅠ        ‌‍ᅟᅠ        ‌‍ᅟᅠ        ‌‍ᅟᅠ        ‌‍ᅟᅠ        ‌‍ᅟᅠ        ‌‍ᅟᅠ        ‌‍ᅟᅠ        ‌‍ᅟᅠ        ‌‍ᅟᅠ        ‌‍ᅟᅠ        ‌‍ᅟᅠ   
http协议-缓存控制:no-cache/must-revalidate/no-store
com185272358的专栏
06-20 4567
客户端从服务器请求数据经历如下基本步骤:   1、如果请求命中本地缓存则从本地缓存中获取一个对应资源的"copy";   2、检查这个"copy"是否fresh,是则直接返回,否则继续向服务器转发请求。   3、服务器接收到请求,然后判断资源是否变更,是则返回新内容,否则返回304,未变更。   4、客户端更新本地缓存。   no-cache的作用是:强制客户端跳过步骤2,直接向服务器发
java cache-control_java – 在我的部署中设置Cache-Control no-cache,no-store是什么?
weixin_31209173的博客
02-16 1260
导致这种情况的根代码是在Spring MVC中,从WebContentGenerator调用.此类用作MVC / Webflow堆栈中几个类的基类:WebContentInterceptor(MVC拦截器),AbstractController(MVC控制器),AbstractHandlerMethodAdapter(MVC HandlerAdapter),AnnotationMethodHadl...
我现在在进行一个token接口的访问,涉及到跨域问题,采用的Digest算法,我先用简单请求进行访问,返回了401,并且携带了access-control-allow-headers,access-control-allow-methods,access-control-allow-origin,access-control-expose-headers,www-authenticate等信息;在拿到www-authenticate后,我又生成了Authorization头,重新访问该接口,浏览器预检返回200ok,响应标头为HTTP/1.0 200 OK Connection: close Content-Type: text/html Cache-Control: no-cache Expires: 0 X-Frame-Options: SAMEORIGIN 但是实际访问仍然显示跨域,无法获取响应,告诉我为什么
10-10
<think>嗯,用户现在在访问一个token接口时遇到了跨域问题,使用的是Digest算法。首先,他进行了简单请求,得到了401响应,并且响应头里包含了一些CORS相关的头信息,比如access-control-allow-headers、access-control-allow-methods、access-control-allow-origin、access-control-expose-headerswww-authenticate。然后他根据www-authenticate生成了Authorization头,重新访问接口,预检请求返回了200,但实际访问还是显示跨域问题,无法获取响应。 首先,我需要理解整个过程。简单请求返回401,说明服务器需要认证。这时候,预检请求(preflight)可能还没发生,因为简单请求如果是GET或POST且满足一定条件的话,可能不需要预检。不过用户提到在生成Authorization头后重新访问,这时候可能触发了预检请求,因为添加了自定义头(Authorization可能属于需要预检的情况)。 预检请求返回200 OK,但实际访问仍然跨域。可能的问题出在哪里呢?首先,检查预检请求的响应头是否正确。用户提到预检响应头是HTTP/1.0 200 OK,但响应头中可能缺少必要的CORS头,比如Access-Control-Allow-Origin。因为即使预检成功,如果实际响应中没有正确的CORS头,浏览器还是会阻止访问。 用户提到第一次401响应中有access-control-allow-origin等头,但在实际访问的响应头里可能没有这些头。因为预检请求的响应可能没有正确设置这些头,或者实际请求的响应头没有包含相应的CORS头。例如,实际响应必须包含Access-Control-Allow-Origin,否则浏览器会报跨域错误。 另一个可能的原因是服务器在预检请求的响应中没有正确设置Access-Control-Allow-Credentials,如果请求需要凭证的话。或者Access-Control-Expose-Headers没有正确设置,导致某些头无法被客户端访问。 另外,用户使用的是Digest认证,可能在预检请求中没有正确处理认证头。例如,预检请求是OPTIONS,可能不会携带Authorization头,导致服务器在预检阶段没有正确验证,从而在实际请求时出现认证问题。 此外,检查实际响应头中是否包含Access-Control-Allow-Origin,并且该值是否匹配请求的源。如果服务器在预检响应中设置了正确的CORS头,但在实际响应中没有,那么浏览器会阻止访问。 还有可能服务器在处理预检请求时返回了正确的CORS头,但实际请求的响应头中缺少这些头,或者某些头的值不正确,比如Access-Control-Allow-Methods或Access-Control-Allow-Headers中的内容是否匹配实际请求的方法头。 总结可能的原因: 1. 实际响应头中缺少Access-Control-Allow-Origin或其他必要CORS头。 2. 预检请求成功,但实际请求的响应头没有正确的CORS配置。 3. 服务器可能没有正确处理带认证的请求,特别是在Digest认证的情况下。 4. 可能存在凭证问题,比如Access-Control-Allow-Credentials未设置,而请求需要携带凭证。 5. 浏览器缓存了之前的响应,导致问题,可以尝试清除缓存或使用新请求。 用户需要检查实际响应头是否包含正确的CORS头,特别是Access-Control-Allow-OriginAccess-Control-Allow-Credentials(如果适用)。同时,确保预检请求实际请求的响应头都正确配置了CORS相关头,且值匹配。</think>跨域问题的核心在于浏览器的同源策略与CORS响应头的配合机制。你的场景中,**预检请求(OPTIONS)成功并不代表实际请求能成功**,因为实际请求的响应头可能未正确包含CORS相关字段。以下是关键原因分析: 1. **实际响应头缺失必要CORS字段** 预检请求返回200后,浏览器会发送实际请求(如POST/GET),但实际响应头必须包含: - `Access-Control-Allow-Origin`(值必须匹配请求来源) - `Access-Control-Allow-Credentials`(若涉及凭证) - `Access-Control-Expose-Headers`(若前端需访问特定响应头) 而你的实际响应头仅包含`Cache-Control`等基础字段,**缺少上述CORS关键头信息**,导致浏览器拦截响应。 2. **Digest认证与CORS的交互问题** - 预检请求(OPTIONS)通常不携带`Authorization`头,服务器可能未正确处理后续认证请求的CORS策略。 - 若服务器要求认证后才允许跨域,但实际请求的认证头(Digest)未被正确验证,可能导致服务器拒绝响应并缺失CORS头。 3. **服务器配置不一致** - 预检请求的CORS配置正确(返回了`Access-Control-Allow-*`),但实际接口的CORS逻辑未复用相同规则,导致响应头缺失。 --- ### 验证步骤与解决方案 1. **检查实际请求的响应头** 使用Postman或curl发送相同请求,确认响应头是否包含: ```http Access-Control-Allow-Origin: <你的源> Access-Control-Allow-Credentials: true (若需要) ``` 若缺失,需后端在实际接口逻辑中添加CORS头。 2. **确保预检请求的认证兼容性** - 预检请求(OPTIONS)需返回`HTTP 204 No Content`或`200 OK`,且响应头包含: ```http Access-Control-Allow-Methods: POST, GET, OPTIONS Access-Control-Allow-Headers: Authorization, Content-Type Access-Control-Max-Age: 86400 ``` - 服务器需允许`Authorization`头通过预检(即使预检请求不携带该头)。 3. **后端配置建议(以Nginx为例)** ```nginx add_header 'Access-Control-Allow-Origin' 'https://your-origin.com' always; add_header 'Access-Control-Allow-Credentials' 'true' always; add_header 'Access-Control-Allow-Methods' 'POST, GET, OPTIONS' always; add_header 'Access-Control-Allow-Headers' 'Authorization,Content-Type' always; ``` 4. **排查认证流程冲突** - 若使用Digest认证,确保服务器在认证失败时仍返回正确的CORS头(如401响应需包含`Access-Control-Allow-Origin`)。 - 可尝试先用简单请求(无认证)测试CORS配置,确认基础跨域逻辑正常。 ---
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值