ユーザー情報の漏えいを防ぐように言われましたが、「キャッシュなし」だけでは不十分です。「ノーストア」も必要です。
Cache-Control: no-cache, no-store
この仕様http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.htmlを読んだ後でも、理由はまだよくわかりません。
私の現在の理解は、それが中間キャッシュサーバーのためだけのものであるということです。「キャッシュなし」が応答した場合でも、中間キャッシュサーバーはコンテンツを不揮発性ストレージに保存できます。中間キャッシュサーバーは、保存されたコンテンツを次の要求に使用するかどうかを決定します。ただし、「no-store」が応答にある場合、中間キャッシュサーバーはコンテンツを保存することを想定していません。したがって、それはより安全です。
「キャッシュなし」と「ストアなし」の両方が必要な他の理由はありますか?
no-cache
あなたがそれが何をしていると思うかを意味しません。実際には、「再検証してください」という意味です。