Cache-Control头

介绍

Cache-Control头在HTTP中有一定的难度，第一它既可以用于请求头，也可以用于响应头（这里主要将响应缓存）。第二，它控制着两个缓存，本地缓存：指客户端本地及其中的缓存（大多指浏览器缓存），但是它完全不受控制，通常浏览器会自己决定是否把某些内容放到缓存中，同时用户也可以自己处理缓存（清空）。共享缓存，处于客户端和服务器之间的缓存。既CDN。开发者可以绝对的控制。

代码示例

1. Cache-Control: public max-age=3600

2. Cache-Control: private immutable

3. Cache-Control: no-cache

4. Cache-Control: public max-age=3600 s-maxage=7200

5. Cache-Control: public max-age=3600 proxy-revalidate

属性

首先，Cache-Control有三种属性：缓冲能力、过期时间和二次验证。

缓冲能力

private：表示它只应该存在本地缓存；
public：表示它既可以存在共享缓存，也可以被存在本地缓存；
no-cache：表示不论是本地缓存还是共享缓存，在使用它以前必须用缓存里的值来重新验证（并不是表示不能使用缓存）。
no-store：表示不允许被缓存

过期时间

max-age=：设置缓存时间，设置单位为秒。本地缓存和共享缓存都可以。
s-maxage=：覆盖max-age属性。只在共享缓存中起作用。

二次验证（表示精细控制）

immutable：表示文档是不能修改的
must-revalidate：表示客户端（浏览器）必须检查代理服务商是否存在，即使它已经本地缓存了也要检查
proxy-revalidata：表示共享缓存（CDN）必须要检查源是否存在，即使已经存在了缓存。

对示例代码的解释

本地缓存和CDN均缓存一小时
不能缓存在CDN，只能缓存在本地。并且一旦缓存了，则不能呗更新；
不能缓存，如果一定要缓存的话，确保对其进行二次验证；
本地缓存一小时，CDN上缓存2小时；
本地和CDN均被缓存一小时，但是如果CDN收到请求，则尽管已经缓存了一小时，还是要检查源中文档是否已经被改变。

关于请求头中的Cache-Control

cache-Control不是响应头独有的，在有些请求头中会带有Cache-Control，但是我们为什么很少在请求头中见到这个呢？（也很少见到这方面的资料）原因就是：他非常的危险！

我们知道，HTTP中的PUT方法是具有很大的风险性的，因为它有可能使服务端的资源被不安全的客户端修改，请求中的Cache-Control也是一样，来跟我仔细思考：前面说到CDN是为了加快访问同时减轻服务器的压力，甚至是保护底层的数据库，那么试想，如果客户端利用Cache-Control强行的关闭掉CDN直接把请求发送到服务器上，此时攻击者就可与击穿CDN！所以说他具有很大的风险性，实现这个规范的服务器少之又少!

巴特西