Me dicen que evite la filtración de información del usuario, solo "no-cache" en respuesta no es suficiente. "no-store" también es necesario.

Cache-Control: no-cache, no-store

Después de leer esta especificaciónhttp: //www.w3.org/Protocols/rfc2616/rfc2616-sec14.htm, Todavía no estoy muy seguro de por qué.

Mi comprensión actual es que es solo para el servidor de caché intermedio. Incluso si la respuesta es "sin caché", el servidor de caché intermedio aún puede guardar el contenido en un almacenamiento no volátil. El servidor de caché intermedio decidirá si usará el contenido guardado para la siguiente solicitud. Sin embargo, si "no-store" está en la respuesta, no se supone que el servidor de caché intermedio almacene el contenido. Por lo tanto, es más seguro.

¿Hay alguna otra razón por la que necesitemos "no-cache" y "no-store"?