Мне сказали, чтобы предотвратить утечку пользовательской информации, только "без кеша" в ответе недостаточно. "нет магазина" также необходимо.

Cache-Control: no-cache, no-store

После прочтения этой спецификацииhttp://www.w3.org/Protocols/rfc2616/rfc2616-sec14.htmlЯ до сих пор не совсем уверен, почему.

В настоящее время я понимаю, что это только для промежуточного сервера кеша. Даже если в ответе нет кэша, сервер промежуточного кэша может сохранять содержимое в энергонезависимой памяти. Промежуточный сервер кеша примет решение, использовать ли сохраненный контент для следующего запроса. Однако, если в ответе «нет хранилища», промежуточный сервер кэша не должен хранить контент. Так что это безопаснее.

Есть ли какая-то другая причина, по которой нам нужны и «без кеша», и «без магазина»?