Unsere Untersuchungen haben gezeigt, dass nicht alle Browser die HTTP-Cache-Anweisungen einheitlich einhalten.

Aus Sicherheitsgründen möchten wir nicht, dass bestimmte Seiten in unserer Anwendung jemals vom Webbrowser zwischengespeichert werden. Dies muss für mindestens die folgenden Browser funktionieren:

• Internet Explorer 6+
• Firefox 1.5+
• Safari 3+
• Opera 9+
• Chrom

Unsere Anforderung ergab sich aus einem Sicherheitstest. Nachdem Sie sich von unserer Website abgemeldet haben, können Sie die Zurück-Taste drücken und zwischengespeicherte Seiten anzeigen.

Einführung

Der richtige Mindestsatz an Headern, der für alle genannten Clients (und Proxys) funktioniert:

Cache-Control: no-cache, no-store, must-revalidate
Pragma: no-cache
Expires: 0

Das Cache-Controlist für die HTTP 1.1 - Spezifikation für Clients und Proxies (und implizit von einigen Kunden neben erforderlich Expires). Das Pragmaist für die HTTP 1.0 - Spezifikation für prähistorische Kunden. Das Expiresist per HTTP 1.0 und 1.1 Spezifikationen für Clients und Proxies. In HTTP 1.1 hat das Cache-ControlVorrang vor ExpiresHTTP 1.0, also nur für HTTP 1.0-Proxys.

Wenn Sie sich nicht für IE6 und dessen fehlerhaftes Caching interessieren, wenn Sie Seiten nur über HTTPS bereitstellen no-store, können Sie dies weglassen Cache-Control: no-cache.

Cache-Control: no-store, must-revalidate
Pragma: no-cache
Expires: 0

Wenn Sie sich nicht für IE6- oder HTTP 1.0-Clients interessieren (HTTP 1.1 wurde 1997 eingeführt), können Sie dies weglassen Pragma.

Cache-Control: no-store, must-revalidate
Expires: 0

Wenn Sie sich auch nicht für HTTP 1.0-Proxys interessieren, können Sie dies weglassen Expires.

Cache-Control: no-store, must-revalidate

Wenn der Server hingegen automatisch einen gültigen DateHeader enthält, können Sie ihn theoretisch auch weglassen Cache-Controlund sich Expiresnur darauf verlassen.

Date: Wed, 24 Aug 2016 18:32:02 GMT
Expires: 0

Dies kann jedoch fehlschlagen, wenn z. B. der Endbenutzer das Datum des Betriebssystems manipuliert und die Client-Software darauf vertraut.

Andere Cache-ControlParameter wie max-agesind irrelevant, wenn die oben genannten Cache-ControlParameter angegeben werden. Der Last-ModifiedHeader, wie er in den meisten anderen Antworten hier enthalten ist, ist nur dann interessant, wenn Sie die Anforderung tatsächlich zwischenspeichern möchten , sodass Sie sie überhaupt nicht angeben müssen.

Wie stelle ich es ein?

Verwenden von PHP:

header("Cache-Control: no-cache, no-store, must-revalidate"); // HTTP 1.1.
header("Pragma: no-cache"); // HTTP 1.0.
header("Expires: 0"); // Proxies.

Verwenden von Java Servlet oder Node.js:

response.setHeader("Cache-Control", "no-cache, no-store, must-revalidate"); // HTTP 1.1.
response.setHeader("Pragma", "no-cache"); // HTTP 1.0.
response.setHeader("Expires", "0"); // Proxies.

Verwenden von ASP.NET-MVC

Response.Cache.SetCacheability(HttpCacheability.NoCache);  // HTTP 1.1.
Response.Cache.AppendCacheExtension("no-store, must-revalidate");
Response.AppendHeader("Pragma", "no-cache"); // HTTP 1.0.
Response.AppendHeader("Expires", "0"); // Proxies.

Verwenden der ASP.NET-Web-API:

// `response` is an instance of System.Net.Http.HttpResponseMessage
response.Headers.CacheControl = new CacheControlHeaderValue
{
    NoCache = true,
    NoStore = true,
    MustRevalidate = true
};
response.Headers.Pragma.ParseAdd("no-cache");
// We can't use `response.Content.Headers.Expires` directly
// since it allows only `DateTimeOffset?` values.
response.Content?.Headers.TryAddWithoutValidation("Expires", 0.ToString()); 

Verwenden von ASP.NET:

Response.AppendHeader("Cache-Control", "no-cache, no-store, must-revalidate"); // HTTP 1.1.
Response.AppendHeader("Pragma", "no-cache"); // HTTP 1.0.
Response.AppendHeader("Expires", "0"); // Proxies.

Verwenden von ASP.NET Core v3

// using Microsoft.Net.Http.Headers
Response.Headers[HeaderNames.CacheControl] = "no-cache, no-store, must-revalidate";
Response.Headers[HeaderNames.Expires] = "0";
Response.Headers[HeaderNames.Pragma] = "no-cache";

Verwenden von ASP:

Response.addHeader "Cache-Control", "no-cache, no-store, must-revalidate" ' HTTP 1.1.
Response.addHeader "Pragma", "no-cache" ' HTTP 1.0.
Response.addHeader "Expires", "0" ' Proxies.

Verwenden von Ruby on Rails oder Python / Flask:

headers["Cache-Control"] = "no-cache, no-store, must-revalidate" # HTTP 1.1.
headers["Pragma"] = "no-cache" # HTTP 1.0.
headers["Expires"] = "0" # Proxies.

Verwenden von Python / Django:

response["Cache-Control"] = "no-cache, no-store, must-revalidate" # HTTP 1.1.
response["Pragma"] = "no-cache" # HTTP 1.0.
response["Expires"] = "0" # Proxies.

Verwenden von Python / Pyramid:

request.response.headerlist.extend(
    (
        ('Cache-Control', 'no-cache, no-store, must-revalidate'),
        ('Pragma', 'no-cache'),
        ('Expires', '0')
    )
)

Verwenden von Go:

responseWriter.Header().Set("Cache-Control", "no-cache, no-store, must-revalidate") // HTTP 1.1.
responseWriter.Header().Set("Pragma", "no-cache") // HTTP 1.0.
responseWriter.Header().Set("Expires", "0") // Proxies.

Verwenden der Apache- .htaccessDatei:

<IfModule mod_headers.c>
    Header set Cache-Control "no-cache, no-store, must-revalidate"
    Header set Pragma "no-cache"
    Header set Expires 0
</IfModule>

Verwenden von HTML4:

<meta http-equiv="Cache-Control" content="no-cache, no-store, must-revalidate">
<meta http-equiv="Pragma" content="no-cache">
<meta http-equiv="Expires" content="0">

HTML-Meta-Tags im Vergleich zu HTTP-Antwortheadern

Es ist wichtig zu wissen, dass, wenn eine HTML-Seite über eine HTTP-Verbindung bereitgestellt wird und sowohl in den HTTP-Antwortheadern als auch in den HTML- <meta http-equiv>Tags ein Header vorhanden ist, der im HTTP-Antwortheader angegebene den Vorrang vor dem HTML-Meta-Tag hat. Das HTML-Meta-Tag wird nur verwendet, wenn die Seite von einem lokalen Datenträger-Dateisystem über eine file://URL angezeigt wird . Siehe auch W3 HTML-Spezifikation Kapitel 5.2.2 . Seien Sie vorsichtig, wenn Sie sie nicht programmgesteuert angeben, da der Webserver nämlich einige Standardwerte enthalten kann.

Im Allgemeinen sollten Sie die HTML-Meta-Tags nicht angeben, um Verwirrung durch Starter zu vermeiden, und sich auf harte HTTP-Antwortheader verlassen. Darüber hinaus sind speziell diese <meta http-equiv>Tags in HTML5 ungültig . Es sind nur die http-equivin der HTML5-Spezifikation aufgeführten Werte zulässig.

Überprüfen der tatsächlichen HTTP-Antwortheader

Um das eine oder andere zu überprüfen, können Sie sie im HTTP-Verkehrsmonitor des Entwickler-Toolset von Webbrowser anzeigen / debuggen. Sie können dorthin gelangen, indem Sie in Chrome / Firefox23 + / IE9 + F12 drücken, dann die Registerkarte "Netzwerk" oder "Netz" öffnen und dann auf die gewünschte HTTP-Anforderung klicken, um alle Details zur HTTP-Anforderung und -Antwort anzuzeigen. Der folgende Screenshot stammt von Chrome:

Ich möchte diese Header auch für Dateidownloads festlegen

Diese Frage und Antwort richtet sich zunächst auf "Webseiten" (HTML-Seiten) und nicht auf "Dateidownloads" (PDF, Zip, Excel usw.). Sie sollten sie zwischenspeichern lassen und eine Dateiversionskennung irgendwo im URI-Pfad oder im Querystring verwenden, um ein erneutes Herunterladen einer geänderten Datei zu erzwingen. Wenn Sie diese No-Cache-Header ohnehin auf Dateidownloads anwenden, achten Sie auf den IE7 / 8-Fehler, wenn Sie einen Dateidownload über HTTPS anstelle von HTTP bereitstellen. Weitere Informationen finden Sie unter IE kann foo.jsf nicht herunterladen. IE konnte diese Internetseite nicht öffnen. Die angeforderte Site ist entweder nicht verfügbar oder kann nicht gefunden werden .

(Hey, alle zusammen: Bitte kopieren Sie nicht einfach alle Header, die Sie finden können, und fügen Sie sie ein.)

Erstens ist der Verlauf der Zurück-Schaltfläche kein Cache :

Das Frische-Modell (Abschnitt 4.2) gilt nicht unbedingt für Verlaufsmechanismen. Das heißt, ein Verlaufsmechanismus kann eine vorherige Darstellung anzeigen, selbst wenn sie abgelaufen ist.

In der alten HTTP-Spezifikation war der Wortlaut noch stärker und forderte die Browser ausdrücklich auf, Cache-Anweisungen für den Verlauf der Zurück-Schaltflächen zu ignorieren.

Zurück sollte in der Zeit zurückgehen (zu der Zeit , wenn der Benutzer wurde angemeldet). Es wird nicht vorwärts zu einer zuvor geöffneten URL navigiert.

In der Praxis kann der Cache jedoch unter ganz bestimmten Umständen die Zurück-Schaltfläche beeinflussen:

• Die Seite muss über HTTPS geliefert werden , sonst ist dieses Cache-Busting nicht zuverlässig. Wenn Sie kein HTTPS verwenden, ist Ihre Seite außerdem auf viele andere Arten anfällig für Anmeldediebstahl.
• Sie müssen senden Cache-Control: no-store, must-revalidate(einige Browser beobachten no-storeund einige beobachten must-revalidate)

Sie brauchen nie eines von:

• <meta>mit Cache-Headern - es funktioniert überhaupt nicht. Völlig nutzlos.
• post-check/ pre-check- Es ist eine Nur-IE-Direktive, die nur für zwischenspeicherbare Ressourcen gilt.
• Senden Sie denselben Header zweimal oder in Dutzend Teilen. Einige PHP-Snippets ersetzen tatsächlich vorherige Header, was dazu führt, dass nur der letzte gesendet wird.

Wenn Sie möchten, können Sie hinzufügen:

• no-cacheoder max-age=0, wodurch die Ressource (URL) "veraltet" wird und Browser beim Server prüfen müssen, ob es eine neuere Version gibt ( no-storeimpliziert dies bereits noch stärker).
• Expiresmit einem Datum in der Vergangenheit für HTTP / 1.0-Clients (obwohl echte HTTP / 1.0-Clients heutzutage überhaupt nicht existieren).

Bonus: Der neue HTTP-Caching-RFC .

Wie @Kornel sagte, möchten Sie nicht den Cache deaktivieren, sondern den Verlaufspuffer deaktivieren. Verschiedene Browser haben ihre eigenen subtilen Möglichkeiten, den Verlaufspuffer zu deaktivieren.

In Chrome (v28.0.1500.95 m) können wir dies nur mit tun Cache-Control: no-store.

In FireFox (v23.0.1) funktioniert Folgendes:

1. Cache-Control: no-store

2. Cache-Control: no-cache (nur https)

3. Pragma: no-cache (nur https)

4. Vary: * (nur https)

In Opera (v12.15) können wir dies nur über Cache-Control: must-revalidate(nur https) tun .

In Safari (v5.1.7, 7534.57.2) funktioniert Folgendes:

1. Cache-Control: no-store
<body onunload=""> in html

2. Cache-Control: no-store (nur https)

In IE8 (v8.0.6001.18702IC) funktioniert eine dieser Funktionen:

1. Cache-Control: must-revalidate, max-age=0

2. Cache-Control: no-cache

3. Cache-Control: no-store

4. Cache-Control: must-revalidate
Expires: 0

5. Cache-Control: must-revalidate
Expires: Sat, 12 Oct 1991 05:00:00 GMT

6. Pragma: no-cache (nur https)

7. Vary: * (nur https)

Wenn wir das oben Genannte kombinieren, erhalten wir diese Lösung, die für Chrome 28, FireFox 23, IE8, Safari 5.1.7 und Opera 12.15 funktioniert: Cache-Control: no-store, must-revalidate (nur https)

Beachten Sie, dass https erforderlich ist, da Opera den Verlaufspuffer für einfache http-Seiten nicht deaktivieren würde. Wenn Sie https wirklich nicht erhalten können und bereit sind, Opera zu ignorieren, können Sie Folgendes tun:

Cache-Control: no-store
<body onunload="">

Unten sehen Sie die Rohprotokolle meiner Tests:

HTTP:

1. Cache-Control: private, no-cache, no-store, must-revalidate, max-age=0, proxy-revalidate, s-maxage=0
Expires: 0
Pragma: no-cache
Vary: *
<body onunload="">
   _{Fehler: Opera 12.15}
   Erfolg: Chrome 28, FireFox 23, IE8, Safari 5.1.7

2. Cache-Control: private, no-cache, no-store, must-revalidate, max-age=0, proxy-revalidate, s-maxage=0
Expires: Sat, 12 Oct 1991 05:00:00 GMT
Pragma: no-cache
Vary: *
<body onunload="">
   _{Fehler: Opera 12.15}
   Erfolg: Chrome 28, FireFox 23, IE8, Safari 5.1.7

3. Cache-Control: private, no-cache, no-store, must-revalidate, max-age=0, proxy-revalidate, s-maxage=0
Expires: 0
Pragma: no-cache
Vary: *
   _{Fehler: Safari 5.1.7, Opera 12.15}
   Erfolg: Chrome 28, FireFox 23, IE8

4. Cache-Control: private, no-cache, no-store, must-revalidate, max-age=0, proxy-revalidate, s-maxage=0
Expires: Sat, 12 Oct 1991 05:00:00 GMT
Pragma: no-cache
Vary: *
   _{Fehler: Safari 5.1.7, Opera 12.15}
   Erfolg: Chrome 28, FireFox 23, IE8

5. Cache-Control: private, no-cache, must-revalidate, max-age=0, proxy-revalidate, s-maxage=0
Expires: 0
Pragma: no-cache
Vary: *
<body onunload="">
   _{Fehler: Chrome 28, FireFox 23, Safari 5.1.7, Opera 12.15}
   Erfolg: IE8

6. Cache-Control: private, no-cache, must-revalidate, max-age=0, proxy-revalidate, s-maxage=0
Expires: Sat, 12 Oct 1991 05:00:00 GMT
Pragma: no-cache
Vary: *
<body onunload="">
   _{Fehler: Chrome 28, FireFox 23, Safari 5.1.7, Opera 12.15}
   Erfolg: IE8

7. Cache-Control: private, no-cache, must-revalidate, max-age=0, proxy-revalidate, s-maxage=0
Expires: 0
Pragma: no-cache
Vary: *
<body onunload="">
   _{Fehler: Chrome 28, FireFox 23, Safari 5.1.7, Opera 12.15}
   Erfolg: IE8

8. Cache-Control: private, no-cache, must-revalidate, max-age=0, proxy-revalidate, s-maxage=0
Expires: Sat, 12 Oct 1991 05:00:00 GMT
Pragma: no-cache
Vary: *
<body onunload="">
   _{Fehler: Chrome 28, FireFox 23, Safari 5.1.7, Opera 12.15}
   Erfolg: IE8

9. Cache-Control: no-store
   _{Fehler: Safari 5.1.7, Opera 12.15}
   Erfolg: Chrome 28, FireFox 23, IE8

10. Cache-Control: no-store
<body onunload="">
    _{Fehler: Opera 12.15}
    Erfolg: Chrome 28, FireFox 23, IE8, Safari 5.1.7

11. Cache-Control: no-cache
    _{Fehler: Chrome 28, FireFox 23, Safari 5.1.7, Opera 12.15}
    Erfolg: IE8

12. Vary: *
    _{Fehler: Chrome 28, FireFox 23, IE8, Safari 5.1.7, Opera 12.15}
    Erfolg: keine

13. Pragma: no-cache
    _{Fehler: Chrome 28, FireFox 23, IE8, Safari 5.1.7, Opera 12.15}
    Erfolg: keine

14. Cache-Control: private, no-cache, must-revalidate, max-age=0, proxy-revalidate, s-maxage=0
Expires: Sat, 12 Oct 1991 05:00:00 GMT
Pragma: no-cache
Vary: *
<body onunload="">
    _{Fehler: Chrome 28, FireFox 23, Safari 5.1.7, Opera 12.15}
    Erfolg: IE8

15. Cache-Control: private, no-cache, must-revalidate, max-age=0, proxy-revalidate, s-maxage=0
Expires: 0
Pragma: no-cache
Vary: *
<body onunload="">
    _{Fehler: Chrome 28, FireFox 23, Safari 5.1.7, Opera 12.15}
    Erfolg: IE8

16. Cache-Control: must-revalidate, max-age=0
    _{Fehler: Chrome 28, FireFox 23, Safari 5.1.7, Opera 12.15}
    Erfolg: IE8

17. Cache-Control: must-revalidate
Expires: 0
    _{Fehler: Chrome 28, FireFox 23, Safari 5.1.7, Opera 12.15}
    Erfolg: IE8

18. Cache-Control: must-revalidate
Expires: Sat, 12 Oct 1991 05:00:00 GMT
    _{Fehler: Chrome 28, FireFox 23, Safari 5.1.7, Opera 12.15}
    Erfolg: IE8

19. Cache-Control: private, must-revalidate, proxy-revalidate, s-maxage=0
Pragma: no-cache
Vary: *
<body onunload="">
    _{Fehler: Chrome 28, FireFox 23, IE8, Safari 5.1.7, Opera 12.15}
    Erfolg: keine

HTTPS:

1. Cache-Control: private, max-age=0, proxy-revalidate, s-maxage=0
Expires: 0
<body onunload="">
   _{Fehler: Chrome 28, FireFox 23, IE8, Safari 5.1.7, Opera 12.15}
   Erfolg: keine

2. Cache-Control: private, max-age=0, proxy-revalidate, s-maxage=0
Expires: Sat, 12 Oct 1991 05:00:00 GMT
<body onunload="">
   _{Fehler: Chrome 28, FireFox 23, IE8, Safari 5.1.7, Opera 12.15}
   Erfolg: keine

3. Vary: *
   _{Fehler: Chrome 28, Safari 5.1.7, Opera 12.15}
   Erfolg: FireFox 23, IE8

4. Pragma: no-cache
   _{Fehler: Chrome 28, Safari 5.1.7, Opera 12.15}
   Erfolg: FireFox 23, IE8

5. Cache-Control: no-cache
   _{Fehler: Chrome 28, Safari 5.1.7, Opera 12.15}
   Erfolg: FireFox 23, IE8

6. Cache-Control: private, no-cache, max-age=0, proxy-revalidate, s-maxage=0
   _{Fehler: Chrome 28, Safari 5.1.7, Opera 12.15}
   Erfolg: FireFox 23, IE8

7. Cache-Control: private, no-cache, max-age=0, proxy-revalidate, s-maxage=0
Expires: 0
Pragma: no-cache
Vary: *
   _{Fehler: Chrome 28, Safari 5.1.7, Opera 12.15}
   Erfolg: FireFox 23, IE8

8. Cache-Control: private, no-cache, max-age=0, proxy-revalidate, s-maxage=0
Expires: Sat, 12 Oct 1991 05:00:00 GMT
Pragma: no-cache
Vary: *
   _{Fehler: Chrome 28, Safari 5.1.7, Opera 12.15}
   Erfolg: FireFox 23, IE8

9. Cache-Control: must-revalidate
   _{Fehler: Chrome 28, FireFox 23, IE8, Safari 5.1.7}
   Erfolg: Opera 12.15

10. Cache-Control: private, must-revalidate, proxy-revalidate, s-maxage=0
<body onunload="">
    _{Fehler: Chrome 28, FireFox 23, IE8, Safari 5.1.7}
    Erfolg: Opera 12.15

11. Cache-Control: must-revalidate, max-age=0
    _{Fehler: Chrome 28, FireFox 23, Safari 5.1.7}
    Erfolg: IE8, Opera 12.15

12. Cache-Control: private, no-cache, must-revalidate, max-age=0, proxy-revalidate, s-maxage=0
Expires: Sat, 12 Oct 1991 05:00:00 GMT
Pragma: no-cache
Vary: *
<body onunload="">
    _{Fehler: Chrome 28, Safari 5.1.7}
    Erfolg: FireFox 23, IE8, Opera 12.15

13. Cache-Control: private, no-cache, must-revalidate, max-age=0, proxy-revalidate, s-maxage=0
Expires: 0
Pragma: no-cache
Vary: *
<body onunload="">
    _{Fehler: Chrome 28, Safari 5.1.7}
    Erfolg: FireFox 23, IE8, Opera 12.15

14. Cache-Control: no-store
    _{Fehler: Opera 12.15}
    Erfolg: Chrome 28, FireFox 23, IE8, Safari 5.1.7

15. Cache-Control: private, no-cache, no-store, max-age=0, proxy-revalidate, s-maxage=0
Expires: 0
Pragma: no-cache
Vary: *
<body onunload="">
    _{Fehler: Opera 12.15}
    Erfolg: Chrome 28, FireFox 23, IE8, Safari 5.1.7

16. Cache-Control: private, no-cache, no-store, max-age=0, proxy-revalidate, s-maxage=0
Expires: Sat, 12 Oct 1991 05:00:00 GMT
Pragma: no-cache
Vary: *
<body onunload="">
    _{Fehler: Opera 12.15}
    Erfolg: Chrome 28, FireFox 23, IE8, Safari 5.1.7

17. Cache-Control: private, no-cache
Expires: Sat, 12 Oct 1991 05:00:00 GMT
Pragma: no-cache
Vary: *
    _{Fehler: Chrome 28, Safari 5.1.7, Opera 12.15}
    Erfolg: FireFox 23, IE8

18. Cache-Control: must-revalidate
Expires: 0
    _{Fehler: Chrome 28, FireFox 23, Safari 5.1.7,}
    Erfolg: IE8, Opera 12.15

19. Cache-Control: must-revalidate
Expires: Sat, 12 Oct 1991 05:00:00 GMT
    _{Fehler: Chrome 28, FireFox 23, Safari 5.1.7,}
    Erfolg: IE8, Opera 12.15

20. Cache-Control: private, must-revalidate, max-age=0, proxy-revalidate, s-maxage=0
Expires: 0
<body onunload="">
    _{Fehler: Chrome 28, FireFox 23, Safari 5.1.7,}
    Erfolg: IE8, Opera 12.15

21. Cache-Control: private, must-revalidate, max-age=0, proxy-revalidate, s-maxage=0
Expires: Sat, 12 Oct 1991 05:00:00 GMT
<body onunload="">
    _{Fehler: Chrome 28, FireFox 23, Safari 5.1.7,}
    Erfolg: IE8, Opera 12.15

22. Cache-Control: private, must-revalidate
Expires: Sat, 12 Oct 1991 05:00:00 GMT
Pragma: no-cache
Vary: *
    _{Fehler: Chrome 28, Safari 5.1.7}
    Erfolg: FireFox 23, IE8, Opera 12.15

23. Cache-Control: no-store, must-revalidate
    
    Fehler _{: keine} Erfolg: Chrome 28, FireFox 23, IE8, Safari 5.1.7, Opera 12.15

Ich fand die Route web.config nützlich (habe versucht, sie der Antwort hinzuzufügen, scheint aber nicht akzeptiert worden zu sein, also poste ich hier)

<configuration>
<system.webServer>
    <httpProtocol>
        <customHeaders>
            <add name="Cache-Control" value="no-cache, no-store, must-revalidate" />
            <!-- HTTP 1.1. -->
            <add name="Pragma" value="no-cache" />
            <!-- HTTP 1.0. -->
            <add name="Expires" value="0" />
            <!-- Proxies. -->
        </customHeaders>
    </httpProtocol>
</system.webServer>

Und hier ist die Methode von express / node.j, um dasselbe zu tun:

app.use(function(req, res, next) {
    res.setHeader('Cache-Control', 'no-cache, no-store, must-revalidate');
    res.setHeader('Pragma', 'no-cache');
    res.setHeader('Expires', '0');
    next();
});

Ich stellte fest, dass alle Antworten auf dieser Seite immer noch Probleme hatten. Insbesondere ist mir aufgefallen, dass keiner von ihnen IE8 daran hindern würde, eine zwischengespeicherte Version der Seite zu verwenden, wenn Sie darauf zugreifen, indem Sie auf die Schaltfläche "Zurück" klicken.

Nach vielen Recherchen und Tests stellte ich fest, dass die einzigen zwei Header, die ich wirklich brauchte, waren:

Cache-Kontrolle: No-Store
Variieren: *

Eine Erläuterung des Vary-Headers finden Sie unter http://www.w3.org/Protocols/rfc2616/rfc2616-sec13.html#sec13.6

Unter IE6-8, FF1.5-3.5, Chrome 2-3, Safari 4 und Opera 9-10 haben diese Header dazu geführt, dass die Seite vom Server angefordert wurde, wenn Sie auf einen Link zur Seite klicken oder die URL eingeben direkt in der Adressleiste. Das deckt ungefähr 99% aller Browser ab, die ab dem 10. Januar verwendet werden.

Unter IE6 und Opera 9-10 führte das Drücken der Zurück-Taste weiterhin zum Laden der zwischengespeicherten Version. In allen anderen von mir getesteten Browsern wurde eine neue Version vom Server abgerufen. Bisher habe ich keine Header gefunden, die dazu führen, dass diese Browser keine zwischengespeicherten Versionen von Seiten zurückgeben, wenn Sie auf die Schaltfläche "Zurück" klicken.

Update: Nachdem ich diese Antwort geschrieben hatte, stellte ich fest, dass sich unser Webserver als HTTP 1.0-Server identifiziert. Die von mir aufgelisteten Header sind die richtigen, damit Antworten von einem HTTP 1.0-Server nicht von Browsern zwischengespeichert werden. Schauen Sie sich für einen HTTP 1.1-Server die Antwort von BalusC an .

Nach ein wenig Recherche haben wir die folgende Liste von Headern erstellt, die die meisten Browser abzudecken schienen:

• Läuft ab : Mo, 26. Juli 1997 05:00:00 GMT
• Cache-Kontrolle : kein Cache , privat, muss erneut validiert werden , max-stale = 0, Post-Check = 0, Pre-Check = 0 No-Store
• Pragma : kein Cache

In ASP.NET haben wir diese mithilfe des folgenden Snippets hinzugefügt:

Response.ClearHeaders(); 
Response.AppendHeader("Cache-Control", "no-cache"); //HTTP 1.1
Response.AppendHeader("Cache-Control", "private"); // HTTP 1.1
Response.AppendHeader("Cache-Control", "no-store"); // HTTP 1.1
Response.AppendHeader("Cache-Control", "must-revalidate"); // HTTP 1.1
Response.AppendHeader("Cache-Control", "max-stale=0"); // HTTP 1.1 
Response.AppendHeader("Cache-Control", "post-check=0"); // HTTP 1.1 
Response.AppendHeader("Cache-Control", "pre-check=0"); // HTTP 1.1 
Response.AppendHeader("Pragma", "no-cache"); // HTTP 1.0 
Response.AppendHeader("Expires", "Mon, 26 Jul 1997 05:00:00 GMT"); // HTTP 1.0 

Gefunden von: http://forums.asp.net/t/1013531.aspx

Die Verwendung des Pragma-Headers in der Antwort ist eine Frauengeschichte. RFC2616 definiert es nur als Anforderungsheader

http://www.mnot.net/cache_docs/#PRAGMA

HAFTUNGSAUSSCHLUSS: Ich empfehle dringend, die Antwort von @ BalusC zu lesen. Nachdem Sie das folgende Caching-Tutorial gelesen haben : http://www.mnot.net/cache_docs/ (ich empfehle Ihnen, es auch zu lesen), glaube ich, dass es korrekt ist. Aus historischen Gründen (und weil ich es selbst getestet habe) werde ich meine ursprüngliche Antwort unten einfügen:

Ich habe die 'akzeptierte' Antwort für PHP ausprobiert, was bei mir nicht funktioniert hat. Dann habe ich ein wenig recherchiert, eine leichte Variante gefunden, sie getestet und es hat funktioniert. Hier ist es:

header('Cache-Control: no-store, private, no-cache, must-revalidate');     // HTTP/1.1
header('Cache-Control: pre-check=0, post-check=0, max-age=0, max-stale = 0', false);  // HTTP/1.1
header('Pragma: public');
header('Expires: Sat, 26 Jul 1997 05:00:00 GMT');                  // Date in the past  
header('Expires: 0', false); 
header('Last-Modified: '.gmdate('D, d M Y H:i:s') . ' GMT');
header ('Pragma: no-cache');

Das sollte funktionieren. Das Problem bestand darin, dass beim zweimaligen Setzen desselben Teils des Headers falsedie Header-Funktion den vorherigen header()Aufruf einfach überschreibt , wenn der nicht als zweites Argument an die Header-Funktion gesendet wird . Also, wenn die Einstellung Cache-Control, zum Beispiel , wenn man nicht alle Argumente in einer setzen möchte header()Funktionsaufruf, muss er so etwas tun:

header('Cache-Control: this');
header('Cache-Control: and, this', false);

Eine ausführlichere Dokumentation finden Sie hier .

Erstellen Sie für ASP.NET Core eine einfache Middleware-Klasse:

public class NoCacheMiddleware
{
    private readonly RequestDelegate m_next;

    public NoCacheMiddleware( RequestDelegate next )
    {
        m_next = next;
    }

    public async Task Invoke( HttpContext httpContext )
    {
        httpContext.Response.OnStarting( ( state ) =>
        {
            // ref: http://stackoverflow.com/questions/49547/making-sure-a-web-page-is-not-cached-across-all-browsers
            httpContext.Response.Headers.Append( "Cache-Control", "no-cache, no-store, must-revalidate" );
            httpContext.Response.Headers.Append( "Pragma", "no-cache" );
            httpContext.Response.Headers.Append( "Expires", "0" );
            return Task.FromResult( 0 );
        }, null );

        await m_next.Invoke( httpContext );
    }
}

dann registrieren Sie es mit Startup.cs

app.UseMiddleware<NoCacheMiddleware>();

Stellen Sie sicher, dass Sie dies irgendwo später hinzufügen

app.UseStaticFiles();

Diese Richtlinien mindern kein Sicherheitsrisiko. Sie sollen UAs dazu zwingen, flüchtige Informationen zu aktualisieren, und UAs nicht davon abhalten, Informationen zu speichern. Siehe diese ähnliche Frage . Zumindest gibt es keine Garantie dafür, dass Router, Proxys usw. die Caching-Anweisungen ebenfalls nicht ignorieren.

Positiv zu vermerken ist, dass Sie mit Richtlinien zum physischen Zugriff auf Computer, zur Softwareinstallation und dergleichen den meisten Unternehmen in Bezug auf die Sicherheit weit voraus sind. Wenn die Verbraucher dieser Informationen Mitglieder der Öffentlichkeit sind, können Sie ihnen nur helfen, zu verstehen, dass diese Maschine, sobald die Informationen auf ihren Computer gelangen, in ihrer Verantwortung liegt und nicht in Ihrer.

Es gibt einen Fehler in IE6

Inhalte mit "Content-Encoding: gzip" werden immer zwischengespeichert, auch wenn Sie "Cache-Control: no-cache" verwenden.

http://support.microsoft.com/kb/321722

Sie können die gzip-Komprimierung für IE6-Benutzer deaktivieren (überprüfen Sie den Benutzeragenten auf "MSIE 6").

Der RFC für HTTP 1.1 besagt, dass die richtige Methode darin besteht, einen HTTP-Header hinzuzufügen für:

Cache-Kontrolle: kein Cache

Ältere Browser ignorieren dies möglicherweise, wenn sie nicht ordnungsgemäß mit HTTP 1.1 kompatibel sind. Für diejenigen können Sie den Header versuchen:

Pragma: kein Cache

Dies soll auch für HTTP 1.1-Browser funktionieren.

Das Setzen des geänderten http-Headers auf ein Datum im Jahr 1995 reicht normalerweise aus.

Hier ist ein Beispiel:

Läuft ab: Mi, 15. November 1995 04:58:08 GMT
Letzte Änderung: Mi, 15. November 1995, 04:58:08 GMT
Cache-Kontrolle: kein Cache, muss erneut validiert werden

Die PHP-Dokumentation für die Header-Funktion enthält ein ziemlich vollständiges Beispiel (von einem Dritten beigesteuert):

    header('Pragma: public');
    header("Expires: Sat, 26 Jul 1997 05:00:00 GMT");                  // Date in the past   
    header('Last-Modified: '.gmdate('D, d M Y H:i:s') . ' GMT');
    header('Cache-Control: no-store, no-cache, must-revalidate');     // HTTP/1.1
    header('Cache-Control: pre-check=0, post-check=0, max-age=0', false);    // HTTP/1.1
    header ("Pragma: no-cache");
    header("Expires: 0", false);

Wenn Sie Downloadprobleme mit IE6-IE8 über SSL und Cache: No-Cache-Header (und ähnliche Werte) mit MS Office-Dateien haben, können Sie Cache: Private, No-Store-Header und Rückgabedatei auf POST-Anforderung verwenden. Es klappt.

in meinem Fall behebe ich das Problem in Chrom damit

<form id="form1" runat="server" autocomplete="off">

wo ich den Inhalt eines vorherigen Formulars löschen muss, wenn die Benutzer aus Sicherheitsgründen auf die Schaltfläche zurück klicken

Die akzeptierte Antwort scheint für IIS7 + nicht zu funktionieren, da viele Fragen zu Cache-Headern in II7 nicht gesendet wurden:

• Etwas zwingt Antworten zur Cache-Kontrolle: privat in IIS7
• IIS7: Cache-Einstellung funktioniert nicht ... warum?
• Caching-Header für IIS7 + ASP.NET MVC-Client funktionieren nicht
• Stellen Sie die Cache-Steuerung für Aspx-Seiten ein
• Cache-Kontrolle: Kein Speicher, muss erneut validiert werden und wird nicht an den Client-Browser in IIS7 + ASP.NET MVC gesendet

Und so weiter

Die akzeptierte Antwort ist korrekt, in welchen Headern gesetzt werden muss, nicht jedoch, wie sie gesetzt werden müssen. Diese Methode funktioniert mit IIS7:

Response.Cache.SetCacheability(HttpCacheability.NoCache);
Response.Cache.AppendCacheExtension("no-store, must-revalidate");
Response.AppendHeader("Pragma", "no-cache");
Response.AppendHeader("Expires", "-1");

Die erste Zeile wird Cache-controlauf gesetzt no-cacheund die zweite Zeile fügt die anderen Attribute hinzuno-store, must-revalidate

Ich habe in allen Browsern die besten und beständigsten Ergebnisse erzielt, indem ich Pragma: no-cache eingestellt habe

Die Überschriften in der Antwort von BalusC hindern Safari 5 (und möglicherweise auch ältere Versionen) nicht daran, Inhalte aus dem Browser-Cache anzuzeigen, wenn Sie die Zurück-Schaltfläche des Browsers verwenden. Eine Möglichkeit, dies zu verhindern, besteht darin, dem body-Tag ein leeres onunload-Ereignishandlerattribut hinzuzufügen:

<body onunload=""> 

Dieser Hack bricht anscheinend den Back-Forward-Cache in Safari: Gibt es ein browserübergreifendes Onload-Ereignis, wenn Sie auf die Schaltfläche "Zurück" klicken?

Stellen Sie außerdem sicher, dass Sie das ExpiresDefaultin Ihrer .htaccessDatei zurücksetzen, wenn Sie dies verwenden, um das Caching zu aktivieren.

ExpiresDefault "access plus 0 seconds"

Anschließend können Sie ExpiresByTypebestimmte Werte für die Dateien festlegen, die Sie zwischenspeichern möchten:

ExpiresByType image/x-icon "access plus 3 month"

Dies kann auch nützlich sein, wenn Ihre dynamischen Dateien, z. B. PHP usw., vom Browser zwischengespeichert werden und Sie nicht herausfinden können, warum. Überprüfen Sie ExpiresDefault.

Zusätzlich zu den Headern sollten Sie Ihre Seite über https bereitstellen . Viele Browser speichern https standardmäßig nicht zwischen.

//In .net MVC
[OutputCache(NoStore = true, Duration = 0, VaryByParam = "*")]
public ActionResult FareListInfo(long id)
{
}

// In .net webform
<%@ OutputCache NoStore="true" Duration="0" VaryByParam="*" %>

So vervollständigen Sie BalusC -> ANTWORT Wenn Sie Perl verwenden, können Sie mit CGI HTTP-Header hinzufügen.

Verwenden von Perl:

Use CGI;    
sub set_new_query() {
        binmode STDOUT, ":utf8";
        die if defined $query;
        $query = CGI->new();
        print $query->header(
                        -expires       => 'Sat, 26 Jul 1997 05:00:00 GMT',
                        -Pragma        => 'no-cache',
                        -Cache_Control => join(', ', qw(
                                            private
                                            no-cache
                                            no-store
                                            must-revalidate
                                            max-age=0
                                            pre-check=0
                                            post-check=0 
                                           ))
        );
    }

Verwenden von Apache httpd.conf

<FilesMatch "\.(html|htm|js|css|pl)$">
FileETag None
<ifModule mod_headers.c>
Header unset ETag
Header set Cache-Control "max-age=0, no-cache, no-store, must-revalidate"
Header set Pragma "no-cache"
Header set Expires "Wed, 11 Jan 1984 05:00:00 GMT"
</ifModule>

Hinweis: Als ich versuchte, die HTML-META zu verwenden, haben die Browser diese ignoriert und die Seite zwischengespeichert.

Ich möchte nur darauf hinweisen, dass das Hinzufügen dieser zusätzlichen Header programmgesteuert erfolgen sollte, wenn jemand verhindern möchte, dass NUR dynamische Inhalte zwischengespeichert werden.

Ich habe die Konfigurationsdatei meines Projekts so bearbeitet, dass keine Cache-Header angehängt werden. Dadurch wurde jedoch auch das Zwischenspeichern von statischem Inhalt deaktiviert, was normalerweise nicht wünschenswert ist. Durch Ändern der Antwortheader im Code wird sichergestellt, dass Bilder und Stildateien zwischengespeichert werden.

Dies ist ziemlich offensichtlich und dennoch erwähnenswert.

Und noch eine Vorsicht. Seien Sie vorsichtig mit der ClearHeaders-Methode aus der HttpResponse-Klasse. Es kann einige blaue Flecken verursachen, wenn Sie es rücksichtslos verwenden. Als ob es mir gegeben hätte.

Nach der Umleitung zum ActionFilterAttribute-Ereignis gehen beim Löschen aller Header alle Sitzungsdaten und Daten im TempData-Speicher verloren. Es ist sicherer, von einer Aktion umzuleiten oder Header nicht zu löschen, wenn eine Umleitung stattfindet.

Beim zweiten Gedanken rate ich allen davon ab, die ClearHeaders-Methode zu verwenden. Es ist besser, Header separat zu entfernen. Und um den Cache-Control-Header richtig einzustellen, verwende ich diesen Code:

filterContext.HttpContext.Response.Cache.SetCacheability(HttpCacheability.NoCache);
filterContext.HttpContext.Response.Cache.AppendCacheExtension("no-store, must-revalidate");

Ich hatte kein Glück mit <head><meta>Elementen. Das direkte Hinzufügen von HTTP-Cache-bezogenen Parametern (außerhalb des HTML-Dokuments) funktioniert in der Tat für mich.

Es web.headerfolgt ein Beispielcode in Python mit web.py- Aufrufen. Ich habe meinen persönlichen irrelevanten Dienstprogrammcode absichtlich redigiert.

    Web importieren
    sys importieren
    PERSÖNLICHE NUTZEN importieren

    myname = "main.py"

    urls = (
        '/', 'Hauptklasse'
    )

    main = web.application (URLs, Globals ())

    render = web.template.render ("templates /", base = "layout", cache = False)

    Klasse main_class (Objekt):
        def GET (Selbst):
            web.header ("Cache-Kontrolle", "kein Cache, kein Speicher, muss erneut validiert werden")
            web.header ("Pragma", "kein Cache")
            web.header ("Läuft ab", "0")
            return render.main_form ()

        def POST (Selbst):
            msg = "POSTed:"
            form = web.input (function = None)
            web.header ("Cache-Kontrolle", "kein Cache, kein Speicher, muss erneut validiert werden")
            web.header ("Pragma", "kein Cache")
            web.header ("Läuft ab", "0")
            return render.index_laid_out (Begrüßung = msg + form.function)

    if __name__ == "__main__":
        nargs = len (sys.argv)
        # Stellen Sie sicher, dass nach dem Namen des Python-Programms genügend Argumente vorhanden sind
        wenn nargs! = 2:
            LOG-AND-DIE ("% s: Befehlszeilenfehler, nargs =% s, sollte 2 sein", myname, nargs)
        # Stellen Sie sicher, dass die TCP-Portnummer numerisch ist
        Versuchen:
            tcp_port = int (sys.argv [1])
        außer Ausnahme als e:
            LOG-AND-DIE ("% s: tcp_port = int (% s) fehlgeschlagen (keine Ganzzahl)", myname, sys.argv [1])
        # Alles ist gut!
        JUST-LOG ("% s: Wird auf Port% d ausgeführt", myname, tcp_port)
        web.httpserver.runsimple (main.wsgifunc (), ("localhost", tcp_port))
        main.run ()

Siehe diesen Link zu einer Fallstudie zum Caching:

http://securityevaluators.com/knowledge/case_studies/caching/

Zusammenfassung Cache-Control: no-storefunktioniert laut Artikel nur unter Chrome, Firefox und IE. IE akzeptiert andere Steuerelemente, Chrome und Firefox jedoch nicht. Der Link ist eine gute Lektüre mit der Geschichte des Zwischenspeicherns und der Dokumentation von Proof of Concept.

Ich bin mir nicht sicher, ob meine Antwort einfach und dumm klingt, und vielleicht ist sie Ihnen schon vor langer Zeit bekannt, aber da es eines Ihrer Ziele ist, jemanden daran zu hindern, die Browser-Zurück-Schaltfläche zum Anzeigen Ihrer historischen Seiten zu verwenden, können Sie Folgendes verwenden:

window.location.replace("https://www.example.com/page-not-to-be-viewed-in-browser-history-back-button.html");

Natürlich kann dies möglicherweise nicht auf der gesamten Site implementiert werden, aber zumindest für einige kritische Seiten können Sie dies tun. Hoffe das hilft.

Sie können den Standortblock verwenden, um einzelne Dateien festzulegen, anstatt die gesamte App in IIS zwischenzuspeichern

 <location path="index.html">
    <system.webServer>
      <httpProtocol>
        <customHeaders>
          <add name="Cache-Control" value="no-cache" />
        </customHeaders>
      </httpProtocol>
    </system.webServer>
  </location>