Nasze badania wykazały, że nie wszystkie przeglądarki przestrzegają dyrektyw bufora HTTP w jednolity sposób.

Ze względów bezpieczeństwa nie chcemy niektóre strony w naszej aplikacji do pamięci podręcznej, kiedykolwiek, przez przeglądarkę internetową. Musi to działać w co najmniej następujących przeglądarkach:

• Internet Explorer 6+
• Firefox 1.5+
• Safari 3+
• Opera 9+
• Chrom

Nasze wymagania wynikają z testu bezpieczeństwa. Po wylogowaniu z naszej strony internetowej możesz nacisnąć przycisk Wstecz i przeglądać buforowane strony.

Wprowadzenie

Prawidłowy minimalny zestaw nagłówków, który działa na wszystkich wymienionych klientach (i serwerach proxy):

Cache-Control: no-cache, no-store, must-revalidate
Pragma: no-cache
Expires: 0

Jest Cache-Controlto zgodne ze specyfikacją HTTP 1.1 dla klientów i serwerów proxy (i domyślnie wymagane przez niektórych klientów obok Expires). Jest Pragmato zgodne ze specyfikacją HTTP 1.0 dla klientów prehistorycznych. TheExpires to zgodne ze specyfikacjami HTTP 1.0 i 1.1 dla klientów i serwerów proxy. W HTTP 1.1 Cache-Controlma pierwszeństwo przed Expires, więc w końcu dotyczy tylko serwerów proxy HTTP 1.0.

Jeśli nie obchodzi Cię IE6 i jego zepsute buforowanie, gdy wyświetlasz strony tylko przez HTTPS no-store udostępniania , możesz to pominąć Cache-Control: no-cache.

Cache-Control: no-store, must-revalidate
Pragma: no-cache
Expires: 0

Jeśli nie przejmujesz się klientami IE6 ani HTTP 1.0 (HTTP 1.1 został wprowadzony w 1997 r.), Możesz to pominąć Pragma .

Cache-Control: no-store, must-revalidate
Expires: 0

Jeśli nie obchodzą Cię również proxy HTTP 1.0, możesz to pominąć Expires .

Cache-Control: no-store, must-revalidate

Z drugiej strony, jeśli serwer automatycznie zawiera poprawny Datenagłówek, to teoretycznie możesz też pominąć Cache-Controli polegać naExpires tylko na.

Date: Wed, 24 Aug 2016 18:32:02 GMT
Expires: 0

Ale może się to nie powieść, jeśli np. Użytkownik końcowy manipuluje datą systemu operacyjnego, a oprogramowanie klienckie na niej polega.

Inne Cache-Controlparametry, takie jak max-agenieistotne, jeśli Cache-Controlzostaną określone wyżej wymienione parametry. Last-ModifiedNagłówek jak zawarte w większości innych odpowiedzi tutaj jest tylko interesujące, jeśli rzeczywiście chcemy buforować żądanie, dzięki czemu nie trzeba określić go wcale.

Jak to ustawić?

Za pomocą PHP:

header("Cache-Control: no-cache, no-store, must-revalidate"); // HTTP 1.1.
header("Pragma: no-cache"); // HTTP 1.0.
header("Expires: 0"); // Proxies.

Za pomocą Java Servlet lub Node.js:

response.setHeader("Cache-Control", "no-cache, no-store, must-revalidate"); // HTTP 1.1.
response.setHeader("Pragma", "no-cache"); // HTTP 1.0.
response.setHeader("Expires", "0"); // Proxies.

Korzystanie z ASP.NET-MVC

Response.Cache.SetCacheability(HttpCacheability.NoCache);  // HTTP 1.1.
Response.Cache.AppendCacheExtension("no-store, must-revalidate");
Response.AppendHeader("Pragma", "no-cache"); // HTTP 1.0.
Response.AppendHeader("Expires", "0"); // Proxies.

Za pomocą interfejsu API sieci Web ASP.NET:

// `response` is an instance of System.Net.Http.HttpResponseMessage
response.Headers.CacheControl = new CacheControlHeaderValue
{
    NoCache = true,
    NoStore = true,
    MustRevalidate = true
};
response.Headers.Pragma.ParseAdd("no-cache");
// We can't use `response.Content.Headers.Expires` directly
// since it allows only `DateTimeOffset?` values.
response.Content?.Headers.TryAddWithoutValidation("Expires", 0.ToString()); 

Za pomocą ASP.NET:

Response.AppendHeader("Cache-Control", "no-cache, no-store, must-revalidate"); // HTTP 1.1.
Response.AppendHeader("Pragma", "no-cache"); // HTTP 1.0.
Response.AppendHeader("Expires", "0"); // Proxies.

Korzystanie z ASP.NET Core v3

// using Microsoft.Net.Http.Headers
Response.Headers[HeaderNames.CacheControl] = "no-cache, no-store, must-revalidate";
Response.Headers[HeaderNames.Expires] = "0";
Response.Headers[HeaderNames.Pragma] = "no-cache";

Korzystanie z ASP:

Response.addHeader "Cache-Control", "no-cache, no-store, must-revalidate" ' HTTP 1.1.
Response.addHeader "Pragma", "no-cache" ' HTTP 1.0.
Response.addHeader "Expires", "0" ' Proxies.

Korzystanie z Ruby on Rails lub Python / Flask:

headers["Cache-Control"] = "no-cache, no-store, must-revalidate" # HTTP 1.1.
headers["Pragma"] = "no-cache" # HTTP 1.0.
headers["Expires"] = "0" # Proxies.

Za pomocą Python / Django:

response["Cache-Control"] = "no-cache, no-store, must-revalidate" # HTTP 1.1.
response["Pragma"] = "no-cache" # HTTP 1.0.
response["Expires"] = "0" # Proxies.

Za pomocą Python / Pyramid:

request.response.headerlist.extend(
    (
        ('Cache-Control', 'no-cache, no-store, must-revalidate'),
        ('Pragma', 'no-cache'),
        ('Expires', '0')
    )
)

Za pomocą Go:

responseWriter.Header().Set("Cache-Control", "no-cache, no-store, must-revalidate") // HTTP 1.1.
responseWriter.Header().Set("Pragma", "no-cache") // HTTP 1.0.
responseWriter.Header().Set("Expires", "0") // Proxies.

Za pomocą .htaccesspliku Apache :

<IfModule mod_headers.c>
    Header set Cache-Control "no-cache, no-store, must-revalidate"
    Header set Pragma "no-cache"
    Header set Expires 0
</IfModule>

Za pomocą HTML4:

<meta http-equiv="Cache-Control" content="no-cache, no-store, must-revalidate">
<meta http-equiv="Pragma" content="no-cache">
<meta http-equiv="Expires" content="0">

Metatagi HTML a nagłówki odpowiedzi HTTP

Ważne jest, aby wiedzieć, że gdy strona HTML jest obsługiwana przez połączenie HTTP, a nagłówek jest obecny zarówno w nagłówkach odpowiedzi HTTP, jak i <meta http-equiv>znacznikach HTML , wówczas określony w nagłówku odpowiedzi HTTP uzyska pierwszeństwo przed metatagiem HTML. Metatag HTML zostanie użyty tylko wtedy, gdy strona zostanie wyświetlona z lokalnego systemu plików dysku za pośrednictwem file://adresu URL. Zobacz także rozdział 5.2.2 specyfikacji HTML W3 . Zachowaj ostrożność, gdy nie określisz ich programowo, ponieważ serwer WWW może mianowicie zawierać pewne wartości domyślne.

Ogólnie rzecz biorąc, lepiej nie podawać metatagów HTML, aby uniknąć pomyłek przez osoby rozpoczynające i polegać na twardych nagłówkach odpowiedzi HTTP. Co więcej, w szczególności te <meta http-equiv>tagi są nieprawidłowe w HTML5. Tylko http-equivwartości wymienione w specyfikacji HTML5 .

Weryfikacja rzeczywistych nagłówków odpowiedzi HTTP

Aby zweryfikować jedno i drugie, można je zobaczyć / debugować w monitorze ruchu HTTP zestawu narzędzi programistycznych przeglądarki internetowej. Możesz się tam dostać, naciskając klawisz F12 w przeglądarce Chrome / Firefox23 + / IE9 +, a następnie otwierając panel karty „Sieć” lub „Sieć”, a następnie klikając interesujące żądanie HTTP, aby wyświetlić wszystkie szczegóły dotyczące żądania i odpowiedzi HTTP. Poniżej zrzut ekranu jest z Chrome:

Chcę również ustawić te nagłówki w plikach do pobrania

Przede wszystkim to pytanie i odpowiedź są skierowane na „strony internetowe” (strony HTML), a nie „pliki do pobrania” (PDF, zip, Excel itp.). Lepiej je buforuj i użyj jakiegoś identyfikatora wersji pliku gdzieś na ścieżce URI lub w zapytaniu, aby wymusić ponowne pobranie zmienionego pliku. Przy stosowaniu tych nagłówków no-cache przy pobieraniu plików, uważaj na błąd IE7 / 8, gdy podajesz pobieranie pliku przez HTTPS zamiast HTTP. Aby uzyskać szczegółowe informacje, zobacz IE nie może pobrać foo.jsf. IE nie mógł otworzyć tej strony internetowej. Żądana witryna jest niedostępna lub nie można jej znaleźć .

(hej, wszyscy: proszę nie tylko bezmyślnie kopiuj i wklejaj wszystkie nagłówki, które możesz znaleźć)

Po pierwsze, historia przycisku Wstecz nie jest pamięcią podręczną :

Model świeżości (sekcja 4.2) niekoniecznie dotyczy mechanizmów historycznych. Oznacza to, że mechanizm historii może wyświetlić poprzednią reprezentację, nawet jeśli wygasła.

W starej specyfikacji HTTP sformułowanie było jeszcze mocniejsze, wyraźnie mówiąc przeglądarkom, aby ignorowały dyrektywy pamięci podręcznej dotyczące historii przycisków wstecz.

Cofnij ma cofnąć się w czasie (do czasu, kiedy użytkownik był) zalogowany). Nie przechodzi do poprzednio otwartego adresu URL.

Jednak w praktyce pamięć podręczna może wpływać na przycisk Wstecz w bardzo szczególnych okolicznościach:

• Strona musi być dostarczona przez HTTPS , w przeciwnym razie pomijanie pamięci podręcznej nie będzie niezawodne. Dodatkowo, jeśli nie używasz HTTPS, twoja strona jest podatna na kradzież logowania na wiele innych sposobów.
• Musisz wysłać Cache-Control: no-store, must-revalidate(niektóre przeglądarki obserwują, no-storea niektóre obserwują must-revalidate)

Nigdy nie potrzebujesz żadnego z:

• <meta>z nagłówkami pamięci podręcznej - to w ogóle nie działa. Zupełnie bezużyteczne.
• post-check/ pre-check- to dyrektywa tylko dla IE, która ma zastosowanie tylko do zasobów buforowanych .
• Wysyłanie tego samego nagłówka dwa razy lub w kilkunastu częściach. Niektóre fragmenty PHP zastępują poprzednie nagłówki, co powoduje wysłanie tylko ostatniego.

Jeśli chcesz, możesz dodać:

• no-cachelub max-age=0, co sprawi, że zasób (URL) stanie się „nieaktualny” i będzie wymagał od przeglądarek sprawdzenia na serwerze, czy jest dostępna nowsza wersja (no-store już implikuje to jeszcze silniejsze).
• Expiresz datą w przeszłości dla klientów HTTP / 1.0 (chociaż w rzeczywistości nie ma obecnie prawdziwych klientów obsługujących tylko HTTP / 1.0).

Bonus: nowy RFC buforujący HTTP .

Jak stwierdził @Kornel, nie chcesz dezaktywować pamięci podręcznej, ale dezaktywować bufor historii. Różne przeglądarki mają swoje subtelne sposoby wyłączania bufora historii.

W Chrome (v28.0.1500.95 m) możemy to zrobić tylko przez Cache-Control: no-store.

W FireFox (v23.0.1) każdy z nich będzie działał:

1. Cache-Control: no-store

2. Cache-Control: no-cache (tylko https)

3. Pragma: no-cache (tylko https)

4. Vary: * (tylko https)

W Operze (v12.15) możemy to zrobić Cache-Control: must-revalidatetylko (tylko https).

W przeglądarce Safari (wersja 5.1.7, 7534.57.2) dowolny z nich będzie działał:

1. Cache-Control: no-store
<body onunload=""> w html

2. Cache-Control: no-store (tylko https)

W IE8 (v8.0.6001.18702IC) każdy z nich będzie działał:

1. Cache-Control: must-revalidate, max-age=0

2. Cache-Control: no-cache

3. Cache-Control: no-store

4. Cache-Control: must-revalidate
Expires: 0

5. Cache-Control: must-revalidate
Expires: Sat, 12 Oct 1991 05:00:00 GMT

6. Pragma: no-cache (tylko https)

7. Vary: * (tylko https)

Połączenie powyższego daje nam to rozwiązanie, które działa w Chrome 28, FireFox 23, IE8, Safari 5.1.7 i Opera 12.15: Cache-Control: no-store, must-revalidate (tylko https)

Pamiętaj, że https jest potrzebne, ponieważ Opera nie dezaktywuje bufora historii dla zwykłych stron http. Jeśli naprawdę nie możesz uzyskać https i jesteś gotowy zignorować Operę, najlepsze, co możesz zrobić, to:

Cache-Control: no-store
<body onunload="">

Poniżej przedstawiono surowe dzienniki moich testów:

HTTP:

1. Cache-Control: private, no-cache, no-store, must-revalidate, max-age=0, proxy-revalidate, s-maxage=0
Expires: 0
Pragma: no-cache
Vary: *
<body onunload="">
   _{Niepowodzenie: Opera 12.15}
   Sukces: Chrome 28, FireFox 23, IE8, Safari 5.1.7

2. Cache-Control: private, no-cache, no-store, must-revalidate, max-age=0, proxy-revalidate, s-maxage=0
Expires: Sat, 12 Oct 1991 05:00:00 GMT
Pragma: no-cache
Vary: *
<body onunload="">
   _{Niepowodzenie: Opera 12.15}
   Sukces: Chrome 28, FireFox 23, IE8, Safari 5.1.7

3. Cache-Control: private, no-cache, no-store, must-revalidate, max-age=0, proxy-revalidate, s-maxage=0
Expires: 0
Pragma: no-cache
Vary: *
   _{Niepowodzenie: Safari 5.1.7, Opera 12.15}
   Sukces: Chrome 28, FireFox 23, IE8

4. Cache-Control: private, no-cache, no-store, must-revalidate, max-age=0, proxy-revalidate, s-maxage=0
Expires: Sat, 12 Oct 1991 05:00:00 GMT
Pragma: no-cache
Vary: *
   _{Niepowodzenie: Safari 5.1.7, Opera 12.15}
   Sukces: Chrome 28, FireFox 23, IE8

5. Cache-Control: private, no-cache, must-revalidate, max-age=0, proxy-revalidate, s-maxage=0
Expires: 0
Pragma: no-cache
Vary: *
<body onunload="">
   _{Niepowodzenie: Chrome 28, FireFox 23, Safari 5.1.7, Opera 12.15}
   Sukces: IE8

6. Cache-Control: private, no-cache, must-revalidate, max-age=0, proxy-revalidate, s-maxage=0
Expires: Sat, 12 Oct 1991 05:00:00 GMT
Pragma: no-cache
Vary: *
<body onunload="">
   _{Niepowodzenie: Chrome 28, FireFox 23, Safari 5.1.7, Opera 12.15}
   Sukces: IE8

7. Cache-Control: private, no-cache, must-revalidate, max-age=0, proxy-revalidate, s-maxage=0
Expires: 0
Pragma: no-cache
Vary: *
<body onunload="">
   _{Niepowodzenie: Chrome 28, FireFox 23, Safari 5.1.7, Opera 12.15}
   Sukces: IE8

8. Cache-Control: private, no-cache, must-revalidate, max-age=0, proxy-revalidate, s-maxage=0
Expires: Sat, 12 Oct 1991 05:00:00 GMT
Pragma: no-cache
Vary: *
<body onunload="">
   _{Niepowodzenie: Chrome 28, FireFox 23, Safari 5.1.7, Opera 12.15}
   Sukces: IE8

9. Cache-Control: no-store
   _{Niepowodzenie: Safari 5.1.7, Opera 12.15}
   Sukces: Chrome 28, FireFox 23, IE8

10. Cache-Control: no-store
<body onunload="">
    _{Niepowodzenie: Opera 12.15}
    Sukces: Chrome 28, FireFox 23, IE8, Safari 5.1.7

11. Cache-Control: no-cache
    _{Niepowodzenie: Chrome 28, FireFox 23, Safari 5.1.7, Opera 12.15}
    Sukces: IE8

12. Vary: *
    _{Niepowodzenie: Chrome 28, FireFox 23, IE8, Safari 5.1.7, Opera 12.15}
    Sukces: brak

13. Pragma: no-cache
    _{Niepowodzenie: Chrome 28, FireFox 23, IE8, Safari 5.1.7, Opera 12.15}
    Sukces: brak

14. Cache-Control: private, no-cache, must-revalidate, max-age=0, proxy-revalidate, s-maxage=0
Expires: Sat, 12 Oct 1991 05:00:00 GMT
Pragma: no-cache
Vary: *
<body onunload="">
    _{Niepowodzenie: Chrome 28, FireFox 23, Safari 5.1.7, Opera 12.15}
    Sukces: IE8

15. Cache-Control: private, no-cache, must-revalidate, max-age=0, proxy-revalidate, s-maxage=0
Expires: 0
Pragma: no-cache
Vary: *
<body onunload="">
    _{Niepowodzenie: Chrome 28, FireFox 23, Safari 5.1.7, Opera 12.15}
    Sukces: IE8

16. Cache-Control: must-revalidate, max-age=0
    _{Niepowodzenie: Chrome 28, FireFox 23, Safari 5.1.7, Opera 12.15}
    Sukces: IE8

17. Cache-Control: must-revalidate
Expires: 0
    _{Niepowodzenie: Chrome 28, FireFox 23, Safari 5.1.7, Opera 12.15}
    Sukces: IE8

18. Cache-Control: must-revalidate
Expires: Sat, 12 Oct 1991 05:00:00 GMT
    _{Niepowodzenie: Chrome 28, FireFox 23, Safari 5.1.7, Opera 12.15}
    Sukces: IE8

19. Cache-Control: private, must-revalidate, proxy-revalidate, s-maxage=0
Pragma: no-cache
Vary: *
<body onunload="">
    _{Niepowodzenie: Chrome 28, FireFox 23, IE8, Safari 5.1.7, Opera 12.15}
    Sukces: brak

HTTPS:

1. Cache-Control: private, max-age=0, proxy-revalidate, s-maxage=0
Expires: 0
<body onunload="">
   _{Niepowodzenie: Chrome 28, FireFox 23, IE8, Safari 5.1.7, Opera 12.15}
   Sukces: brak

2. Cache-Control: private, max-age=0, proxy-revalidate, s-maxage=0
Expires: Sat, 12 Oct 1991 05:00:00 GMT
<body onunload="">
   _{Niepowodzenie: Chrome 28, FireFox 23, IE8, Safari 5.1.7, Opera 12.15}
   Sukces: brak

3. Vary: *
   _{Niepowodzenie: Chrome 28, Safari 5.1.7, Opera 12.15}
   Sukces: FireFox 23, IE8

4. Pragma: no-cache
   _{Niepowodzenie: Chrome 28, Safari 5.1.7, Opera 12.15}
   Sukces: FireFox 23, IE8

5. Cache-Control: no-cache
   _{Niepowodzenie: Chrome 28, Safari 5.1.7, Opera 12.15}
   Sukces: FireFox 23, IE8

6. Cache-Control: private, no-cache, max-age=0, proxy-revalidate, s-maxage=0
   _{Niepowodzenie: Chrome 28, Safari 5.1.7, Opera 12.15}
   Sukces: FireFox 23, IE8

7. Cache-Control: private, no-cache, max-age=0, proxy-revalidate, s-maxage=0
Expires: 0
Pragma: no-cache
Vary: *
   _{Niepowodzenie: Chrome 28, Safari 5.1.7, Opera 12.15}
   Sukces: FireFox 23, IE8

8. Cache-Control: private, no-cache, max-age=0, proxy-revalidate, s-maxage=0
Expires: Sat, 12 Oct 1991 05:00:00 GMT
Pragma: no-cache
Vary: *
   _{Niepowodzenie: Chrome 28, Safari 5.1.7, Opera 12.15}
   Sukces: FireFox 23, IE8

9. Cache-Control: must-revalidate
   _{Niepowodzenie: Chrome 28, FireFox 23, IE8, Safari 5.1.7}
   Sukces: Opera 12.15

10. Cache-Control: private, must-revalidate, proxy-revalidate, s-maxage=0
<body onunload="">
    _{Niepowodzenie: Chrome 28, FireFox 23, IE8, Safari 5.1.7}
    Sukces: Opera 12.15

11. Cache-Control: must-revalidate, max-age=0
    _{Niepowodzenie: Chrome 28, FireFox 23, Safari 5.1.7}
    Sukces: IE8, Opera 12.15

12. Cache-Control: private, no-cache, must-revalidate, max-age=0, proxy-revalidate, s-maxage=0
Expires: Sat, 12 Oct 1991 05:00:00 GMT
Pragma: no-cache
Vary: *
<body onunload="">
    _{Niepowodzenie: Chrome 28, Safari 5.1.7}
    Sukces: FireFox 23, IE8, Opera 12.15

13. Cache-Control: private, no-cache, must-revalidate, max-age=0, proxy-revalidate, s-maxage=0
Expires: 0
Pragma: no-cache
Vary: *
<body onunload="">
    _{Niepowodzenie: Chrome 28, Safari 5.1.7}
    Sukces: FireFox 23, IE8, Opera 12.15

14. Cache-Control: no-store
    _{Niepowodzenie: Opera 12.15}
    Sukces: Chrome 28, FireFox 23, IE8, Safari 5.1.7

15. Cache-Control: private, no-cache, no-store, max-age=0, proxy-revalidate, s-maxage=0
Expires: 0
Pragma: no-cache
Vary: *
<body onunload="">
    _{Niepowodzenie: Opera 12.15}
    Sukces: Chrome 28, FireFox 23, IE8, Safari 5.1.7

16. Cache-Control: private, no-cache, no-store, max-age=0, proxy-revalidate, s-maxage=0
Expires: Sat, 12 Oct 1991 05:00:00 GMT
Pragma: no-cache
Vary: *
<body onunload="">
    _{Niepowodzenie: Opera 12.15}
    Sukces: Chrome 28, FireFox 23, IE8, Safari 5.1.7

17. Cache-Control: private, no-cache
Expires: Sat, 12 Oct 1991 05:00:00 GMT
Pragma: no-cache
Vary: *
    _{Niepowodzenie: Chrome 28, Safari 5.1.7, Opera 12.15}
    Sukces: FireFox 23, IE8

18. Cache-Control: must-revalidate
Expires: 0
    _{Niepowodzenie: Chrome 28, FireFox 23, Safari 5.1.7,}
    sukces: IE8, Opera 12.15

19. Cache-Control: must-revalidate
Expires: Sat, 12 Oct 1991 05:00:00 GMT
    _{Niepowodzenie: Chrome 28, FireFox 23, Safari 5.1.7,}
    sukces: IE8, Opera 12.15

20. Cache-Control: private, must-revalidate, max-age=0, proxy-revalidate, s-maxage=0
Expires: 0
<body onunload="">
    _{Niepowodzenie: Chrome 28, FireFox 23, Safari 5.1.7,}
    sukces: IE8, Opera 12.15

21. Cache-Control: private, must-revalidate, max-age=0, proxy-revalidate, s-maxage=0
Expires: Sat, 12 Oct 1991 05:00:00 GMT
<body onunload="">
    _{Niepowodzenie: Chrome 28, FireFox 23, Safari 5.1.7,}
    sukces: IE8, Opera 12.15

22. Cache-Control: private, must-revalidate
Expires: Sat, 12 Oct 1991 05:00:00 GMT
Pragma: no-cache
Vary: *
    _{Niepowodzenie: Chrome 28, Safari 5.1.7}
    Sukces: FireFox 23, IE8, Opera 12.15

23. Cache-Control: no-store, must-revalidate
    _{Niepowodzenie: brak}
    Sukces: Chrome 28, FireFox 23, IE8, Safari 5.1.7, Opera 12.15

Uznałem, że trasa web.config jest przydatna (próbowałem dodać ją do odpowiedzi, ale wydaje się, że nie została zaakceptowana, więc opublikuj tutaj)

<configuration>
<system.webServer>
    <httpProtocol>
        <customHeaders>
            <add name="Cache-Control" value="no-cache, no-store, must-revalidate" />
            <!-- HTTP 1.1. -->
            <add name="Pragma" value="no-cache" />
            <!-- HTTP 1.0. -->
            <add name="Expires" value="0" />
            <!-- Proxies. -->
        </customHeaders>
    </httpProtocol>
</system.webServer>

A oto sposób, w jaki express / node.js robi to samo:

app.use(function(req, res, next) {
    res.setHeader('Cache-Control', 'no-cache, no-store, must-revalidate');
    res.setHeader('Pragma', 'no-cache');
    res.setHeader('Expires', '0');
    next();
});

Odkryłem, że wszystkie odpowiedzi na tej stronie wciąż miały problemy. W szczególności zauważyłem, że żaden z nich nie powstrzyma IE8 przed użyciem wersji strony z pamięci podręcznej, gdy uzyskasz do niej dostęp, naciskając przycisk Wstecz.

Po wielu badaniach i testach odkryłem, że jedyne dwa nagłówki, których naprawdę potrzebowałem, to:

Kontrola pamięci podręcznej: bez sklepu
Zmienna: *

Wyjaśnienie nagłówka Vary można znaleźć na stronie http://www.w3.org/Protocols/rfc2616/rfc2616-sec13.html#sec13.6

W przypadku IE6-8, FF1.5-3.5, Chrome 2-3, Safari 4 i Opera 9-10 nagłówki te spowodowały żądanie strony z serwera po kliknięciu łącza do strony lub umieszczeniu adresu URL bezpośrednio w pasku adresu. To obejmuje około 99% wszystkich używanych przeglądarek od stycznia '10.

W IE6 i Opera 9-10 naciśnięcie przycisku Wstecz nadal powodowało załadowanie wersji buforowanej. We wszystkich testowanych przeze mnie przeglądarkach pobierały nową wersję z serwera. Do tej pory nie znalazłem żadnego zestawu nagłówków, który spowodowałby, że przeglądarki nie zwrócą buforowanych wersji stron po naciśnięciu przycisku Wstecz.

Aktualizacja: Po napisaniu tej odpowiedzi zdałem sobie sprawę, że nasz serwer sieciowy identyfikuje się jako serwer HTTP 1.0. Nagłówki, które wymieniłem, są poprawne, aby odpowiedzi z serwera HTTP 1.0 nie były buforowane przez przeglądarki. W przypadku serwera HTTP 1.1 spójrz na odpowiedź BalusC .

Po krótkich badaniach opracowaliśmy następującą listę nagłówków, które zdawały się obejmować większość przeglądarek:

• Wygasa : pon., 26 lipca 1997 r. 05:00:00 GMT
• Kontrola pamięci podręcznej : bez pamięci podręcznej , prywatna, konieczna ponowna walidacja , maksymalna liczba aktualizacji = 0, kontrola końcowa = 0, kontrola wstępna = 0 brak sklepu
• Pragma : bez pamięci podręcznej

W ASP.NET dodaliśmy je za pomocą następującego fragmentu:

Response.ClearHeaders(); 
Response.AppendHeader("Cache-Control", "no-cache"); //HTTP 1.1
Response.AppendHeader("Cache-Control", "private"); // HTTP 1.1
Response.AppendHeader("Cache-Control", "no-store"); // HTTP 1.1
Response.AppendHeader("Cache-Control", "must-revalidate"); // HTTP 1.1
Response.AppendHeader("Cache-Control", "max-stale=0"); // HTTP 1.1 
Response.AppendHeader("Cache-Control", "post-check=0"); // HTTP 1.1 
Response.AppendHeader("Cache-Control", "pre-check=0"); // HTTP 1.1 
Response.AppendHeader("Pragma", "no-cache"); // HTTP 1.0 
Response.AppendHeader("Expires", "Mon, 26 Jul 1997 05:00:00 GMT"); // HTTP 1.0 

Znalezione z: http://forums.asp.net/t/1013531.aspx

Użycie nagłówka pragma w odpowiedzi to opowieść o żonach. RFC2616 definiuje go tylko jako nagłówek żądania

http://www.mnot.net/cache_docs/#PRAGMA

ZASTRZEŻENIE: Zdecydowanie sugeruję przeczytanie odpowiedzi @ BalusC. Po przeczytaniu następującego samouczka buforowania: http://www.mnot.net/cache_docs/ (polecam też go przeczytać), uważam, że jest poprawny. Jednak ze względów historycznych (i ponieważ sam to przetestowałem) dołączę moją oryginalną odpowiedź poniżej:

Próbowałem „zaakceptowanej” odpowiedzi dla PHP, która nie działała dla mnie. Potem przeprowadziłem małe badania, znalazłem niewielki wariant, przetestowałem go i zadziałało. Oto on:

header('Cache-Control: no-store, private, no-cache, must-revalidate');     // HTTP/1.1
header('Cache-Control: pre-check=0, post-check=0, max-age=0, max-stale = 0', false);  // HTTP/1.1
header('Pragma: public');
header('Expires: Sat, 26 Jul 1997 05:00:00 GMT');                  // Date in the past  
header('Expires: 0', false); 
header('Last-Modified: '.gmdate('D, d M Y H:i:s') . ' GMT');
header ('Pragma: no-cache');

To powinno działać. Problem polegał na tym, że przy dwukrotnym ustawianiu tej samej części nagłówka, jeśli falsenie jest on wysyłany jako drugi argument do funkcji nagłówka, funkcja nagłówka po prostu zastąpi poprzednie header()wywołanie. Tak więc, ustawiając Cache-Control, na przykład, jeśli nie chce się umieszczać wszystkich argumentów w jednym header()wywołaniu funkcji, musi zrobić coś takiego:

header('Cache-Control: this');
header('Cache-Control: and, this', false);

Zobacz więcej pełnej dokumentacji tutaj .

W przypadku platformy ASP.NET Core utwórz prostą klasę oprogramowania pośredniego:

public class NoCacheMiddleware
{
    private readonly RequestDelegate m_next;

    public NoCacheMiddleware( RequestDelegate next )
    {
        m_next = next;
    }

    public async Task Invoke( HttpContext httpContext )
    {
        httpContext.Response.OnStarting( ( state ) =>
        {
            // ref: http://stackoverflow.com/questions/49547/making-sure-a-web-page-is-not-cached-across-all-browsers
            httpContext.Response.Headers.Append( "Cache-Control", "no-cache, no-store, must-revalidate" );
            httpContext.Response.Headers.Append( "Pragma", "no-cache" );
            httpContext.Response.Headers.Append( "Expires", "0" );
            return Task.FromResult( 0 );
        }, null );

        await m_next.Invoke( httpContext );
    }
}

następnie zarejestruj to w Startup.cs

app.UseMiddleware<NoCacheMiddleware>();

Pamiętaj, aby dodać to gdzieś później

app.UseStaticFiles();

Dyrektywy te nie ograniczają żadnego ryzyka bezpieczeństwa. Naprawdę mają one zmusić UA do odświeżania lotnych informacji, a nie powstrzymywać UA przed zatrzymywaniem informacji. Zobacz to podobne pytanie . Przynajmniej nie ma gwarancji, że routery, serwery proxy itp. Również nie zignorują dyrektyw buforowania.

Mówiąc bardziej pozytywnie, zasady dotyczące fizycznego dostępu do komputerów, instalacji oprogramowania i tym podobnych sprawią, że wyprzedzisz większość firm pod względem bezpieczeństwa. Jeśli odbiorcy tych informacji są członkami społeczeństwa, jedyną rzeczą, jaką możesz naprawdę zrobić, to pomóc im zrozumieć, że gdy informacja dotrze do ich maszyny, to ta maszyna jest ich odpowiedzialnością, a nie twoją.

W IE6 jest błąd

Treść z „Content-Encoding: gzip” jest zawsze buforowana, nawet jeśli używasz „Cache-Control: no-cache”.

http://support.microsoft.com/kb/321722

Możesz wyłączyć kompresję gzip dla użytkowników IE6 (sprawdź w agencie użytkownika „MSIE 6”)

RFC dla HTTP 1.1 mówi, że właściwą metodą jest dodanie nagłówka HTTP dla:

Kontrola pamięci podręcznej: brak pamięci podręcznej

Starsze przeglądarki mogą to zignorować, jeśli nie są odpowiednio zgodne z HTTP 1.1. Dla tych możesz wypróbować nagłówek:

Pragma: bez pamięci podręcznej

Ma to również działać w przeglądarkach HTTP 1.1.

Ustawienie zmodyfikowanego nagłówka http na jakąś datę w 1995 r. Zwykle załatwia sprawę.

Oto przykład:

Wygasa: śr., 15 listopada 1995 04:58:08 GMT
Ostatnia modyfikacja: śr., 15 listopada 1995 04:58:08 GMT
Kontrola pamięci podręcznej: bez pamięci podręcznej, należy ponownie sprawdzić

Dokumentacja PHP dla funkcji nagłówka zawiera dość kompletny przykład (opracowany przez firmę zewnętrzną):

    header('Pragma: public');
    header("Expires: Sat, 26 Jul 1997 05:00:00 GMT");                  // Date in the past   
    header('Last-Modified: '.gmdate('D, d M Y H:i:s') . ' GMT');
    header('Cache-Control: no-store, no-cache, must-revalidate');     // HTTP/1.1
    header('Cache-Control: pre-check=0, post-check=0, max-age=0', false);    // HTTP/1.1
    header ("Pragma: no-cache");
    header("Expires: 0", false);

Jeśli masz problemy z pobieraniem IE6-IE8 przez SSL i pamięć podręczną: nagłówek no-cache (i podobne wartości) z plikami MS Office, możesz użyć pamięci podręcznej: private, no-store header and return file on POST. To działa.

w moim przypadku naprawiam problem chromem

<form id="form1" runat="server" autocomplete="off">

gdzie muszę wyczyścić zawartość poprzednich formularzy danych, gdy użytkownicy klikną przycisk Wstecz ze względów bezpieczeństwa

Akceptowana odpowiedź nie działa w przypadku IIS7 + ze względu na dużą liczbę pytań o to, że nagłówki pamięci podręcznej nie są wysyłane w II7:

• Coś zmusza odpowiedzi do kontrolowania pamięci podręcznej: prywatny w IIS7
• IIS7: Ustawienia pamięci podręcznej nie działają ... dlaczego?
• Nie działają nagłówki buforowania klienta IIS7 + ASP.NET MVC
• Ustaw kontrolę pamięci podręcznej dla stron aspx
• Kontrola pamięci podręcznej: bez przechowywania, nie trzeba ponownie sprawdzać poprawności, nie wysłano do przeglądarki klienta w IIS7 + ASP.NET MVC

I tak dalej

Przyjęta odpowiedź jest poprawna w tym, które nagłówki muszą być ustawione, ale nie w tym, jak muszą być ustawione. W ten sposób działa z IIS7:

Response.Cache.SetCacheability(HttpCacheability.NoCache);
Response.Cache.AppendCacheExtension("no-store, must-revalidate");
Response.AppendHeader("Pragma", "no-cache");
Response.AppendHeader("Expires", "-1");

Pierwsza linia Cache-controljest no-cacheustawiona na , a druga linia dodaje inne atrybutyno-store, must-revalidate

Miałem najlepsze i najbardziej spójne wyniki we wszystkich przeglądarkach, ustawiając Pragma: no-cache

Nagłówki w odpowiedzi dostarczonej przez BalusC nie uniemożliwiają Safari 5 (i prawdopodobnie także starszym wersjom) wyświetlania zawartości z pamięci podręcznej przeglądarki podczas używania przycisku Wstecz przeglądarki. Aby temu zapobiec, można dodać pusty atrybut procedury obsługi zdarzeń onunload do znacznika body:

<body onunload=""> 

Ten hack najwyraźniej psuje pamięć podręczną do tyłu w Safari: Czy po kliknięciu przycisku Wstecz występuje zdarzenie obciążenia przeglądarki?

Również tylko na wszelki wypadek, upewnij się zresetować ExpiresDefaultw .htaccesspliku, jeśli używasz, że aby włączyć buforowanie.

ExpiresDefault "access plus 0 seconds"

Następnie możesz ExpiresByTypeustawić określone wartości dla plików, które chcesz buforować:

ExpiresByType image/x-icon "access plus 3 month"

Może się to również przydać, jeśli pliki dynamiczne, np. Php itp. Są buforowane przez przeglądarkę i nie możesz zrozumieć, dlaczego. Sprawdzić ExpiresDefault.

Oprócz nagłówków rozważ wyświetlanie strony za pośrednictwem protokołu https . Wiele przeglądarek domyślnie nie buforuje https.

//In .net MVC
[OutputCache(NoStore = true, Duration = 0, VaryByParam = "*")]
public ActionResult FareListInfo(long id)
{
}

// In .net webform
<%@ OutputCache NoStore="true" Duration="0" VaryByParam="*" %>

Aby ukończyć BalusC -> ODPOWIEDŹ Jeśli używasz perla, możesz użyć CGI, aby dodać nagłówki HTTP.

Za pomocą Perla:

Use CGI;    
sub set_new_query() {
        binmode STDOUT, ":utf8";
        die if defined $query;
        $query = CGI->new();
        print $query->header(
                        -expires       => 'Sat, 26 Jul 1997 05:00:00 GMT',
                        -Pragma        => 'no-cache',
                        -Cache_Control => join(', ', qw(
                                            private
                                            no-cache
                                            no-store
                                            must-revalidate
                                            max-age=0
                                            pre-check=0
                                            post-check=0 
                                           ))
        );
    }

Za pomocą apache httpd.conf

<FilesMatch "\.(html|htm|js|css|pl)$">
FileETag None
<ifModule mod_headers.c>
Header unset ETag
Header set Cache-Control "max-age=0, no-cache, no-store, must-revalidate"
Header set Pragma "no-cache"
Header set Expires "Wed, 11 Jan 1984 05:00:00 GMT"
</ifModule>

Uwaga: kiedy próbowałem użyć html META, przeglądarki zignorowały je i zbuforowały stronę.

Chcę tylko zaznaczyć, że jeśli ktoś chce zapobiec buforowaniu TYLKO zawartości dynamicznej, dodawanie tych dodatkowych nagłówków powinno być programowo.

Edytowałem plik konfiguracyjny mojego projektu, aby dodać nagłówki bez pamięci podręcznej, ale to także wyłączało buforowanie zawartości statycznej, co zwykle nie jest pożądane. Modyfikacja nagłówków odpowiedzi w kodzie zapewnia buforowanie obrazów i plików stylów.

Jest to dość oczywiste, ale wciąż warte wspomnienia.

I kolejna uwaga. Uważaj przy użyciu metody ClearHeaders z klasy HttpResponse. To może dać ci siniaki, jeśli użyjesz go lekkomyślnie. Jak mi to dało.

Po przekierowaniu na zdarzenie ActionFilterAttribute konsekwencje wyczyszczenia wszystkich nagłówków tracą wszystkie dane sesji i dane w magazynie TempData. Bezpieczniej jest przekierowywać z Akcji lub nie usuwać nagłówków podczas przekierowania.

Z drugiej strony odradzam wszystkim korzystanie z metody ClearHeaders. Lepiej jest usunąć nagłówki osobno. Aby poprawnie ustawić nagłówek Cache-Control, używam tego kodu:

filterContext.HttpContext.Response.Cache.SetCacheability(HttpCacheability.NoCache);
filterContext.HttpContext.Response.Cache.AppendCacheExtension("no-store, must-revalidate");

Nie miałem szczęścia z <head><meta>żywiołami. Dodawanie parametrów związanych z pamięcią podręczną HTTP bezpośrednio (poza dokumentem HTML) rzeczywiście działa dla mnie.

Przykładowy kod w Pythonie za pomocą web.headerwywołań web.py. Celowo zredagowałem mój osobisty, nieistotny kod narzędziowy.

    importuj sieć
    import sys
    import NARZĘDZIA OSOBISTE

    myname = "main.py"

    adresy URL = (
        „/”, „main_class”
    )

    main = web.application (adresy URL, globals ())

    render = web.template.render („templates /”, base = „layout”, cache = False)

    klasa main_class (obiekt):
        def GET (self):
            web.header („Cache-control”, „no-cache, no-store, must-revalidate”)
            web.header („Pragma”, „no-cache”)
            web.header („Wygasa”, „0”)
            return render.main_form ()

        def POST (self):
            msg = "POSTed:"
            form = web.input (funkcja = Brak)
            web.header („Cache-control”, „no-cache, no-store, must-revalidate”)
            web.header („Pragma”, „no-cache”)
            web.header („Wygasa”, „0”)
            zwraca render.index_laid_out (powitanie = msg + funkcja.funkcja)

    jeśli __name__ == "__main__":
        nargs = len (sys.argv)
        # Upewnij się, że po nazwie programu python jest wystarczająca liczba argumentów
        jeśli nargs! = 2:
            LOG-AND-DIE ("% s: Błąd wiersza poleceń, nargs =% s, powinno być 2", moja nazwa, nargs)
        # Upewnij się, że numer portu TCP jest numeryczny
        próbować:
            tcp_port = int (sys.argv [1])
        z wyjątkiem wyjątku jako e:
            LOG-AND-DIE („% s: tcp_port = int (% s) nie powiodło się (nie liczba całkowita)”, moja nazwa, sys.argv [1])
        # Wszystko dobrze!
        JUST-LOG ("% s: Uruchamianie na porcie% d", nazwa_myśli, tcp_port)
        web.httpserver.runsimple (main.wsgifunc (), („localhost”, tcp_port))
        main.run ()

Zobacz ten link do studium przypadku dotyczącego buforowania:

http://securityevaluators.com/knowledge/case_studies/caching/

Podsumowanie, zgodnie z tym artykułem, Cache-Control: no-storedziała tylko w Chrome, Firefox i IE. IE akceptuje inne formanty, ale Chrome i Firefox nie. Link jest dobrym przeczytaniem wraz z historią buforowania i dokumentowania dowodu koncepcji.

Nie jestem pewien, czy moja odpowiedź brzmi prosto i głupio, a być może była już znana od dawna, ale ponieważ jednym z Twoich celów jest uniemożliwienie komuś korzystania z przycisku Wstecz przeglądarki do przeglądania twoich historycznych stron , możesz:

window.location.replace("https://www.example.com/page-not-to-be-viewed-in-browser-history-back-button.html");

Oczywiście może to nie być możliwe do wdrożenia w całej witrynie, ale przynajmniej w przypadku niektórych krytycznych stron możesz to zrobić. Mam nadzieję że to pomoże.

możesz użyć bloku lokalizacji do ustawienia pojedynczego pliku zamiast buforowania całej aplikacji w IIS

 <location path="index.html">
    <system.webServer>
      <httpProtocol>
        <customHeaders>
          <add name="Cache-Control" value="no-cache" />
        </customHeaders>
      </httpProtocol>
    </system.webServer>
  </location>