你有没有遇到过这种情况?在公司公共电脑上登录邮箱,页面居然自动填好了别人的账号。或者退出登录后,下一秒点个返回,又能看到上一个用户的私密信息。问题很可能出在ref="/tag/431/" style="color:#479099;font-weight:bold;">缓存设置上——尤其是 public 和 private 缓存没分清。
缓存不是都一样吗?
浏览器和代理服务器为了加快网页加载速度,会把一些资源存下来,比如图片、CSS、JS 文件,甚至整个页面。这就是缓存。但并不是所有内容都适合被“存下来”,更不是所有缓存都能随便共享。
HTTP 协议里有个叫 Cache-Control 的响应头,用来告诉浏览器和中间服务器:“这东西能缓存吗?谁可以缓存?”其中最常见的两个指令就是 public 和 private。
public:公开的缓存通行证
当你在响应头里写上 Cache-Control: public,就等于说:“这内容谁都能缓存,浏览器可以存,代理服务器也可以存。”
比如一个新闻网站的首页 CSS 文件,样式是所有人通用的,完全没问题。设成 public 后,公司网关的代理服务器可以统一缓存,所有员工访问时都从本地拿,省带宽又提速。
HTTP/1.1 200 OK
Content-Type: text/css
Cache-Control: public, max-age=3600private:只给特定用户的缓存
而 private 则完全不同。它表示:“这内容只能被最终用户缓存,中间的代理服务器不能存。”
典型场景就是你的个人账户页面。比如银行后台、邮箱收件箱、订单详情页。这些页面虽然看起来也是网页,但里面全是你的私人信息。如果被公司代理服务器缓存了,下一个人连上同一个网络,说不定就能通过缓存看到你的账单。
这时候就得用:
HTTP/1.1 200 OK
Content-Type: text/html
Cache-Control: private, max-age=600这样浏览器可以缓存 10 分钟,提升你自己的操作体验,但任何中间节点都不能保存这份数据。
用错会怎样?
把本该 private 的页面设成 public,风险不小。想象一下医院系统把患者病历页缓存在公共代理上,后来的人查资料时误触缓存,隐私瞬间泄露。这不是理论风险,现实中已有类似事件发生。
反过来,把静态资源设成 private,虽然安全,但会浪费性能。每次请求都要回源,用户看个图标都卡,体验很差。
怎么判断用哪个?
一个简单原则:看内容是否因人而异。
如果所有人看到的内容都一样,比如官网首页、产品介绍图、通用脚本,用 public 没毛病。如果页面里有任何用户专属信息,哪怕只是用户名字、头像、个性化推荐,就必须设为 private。
现在很多开发框架默认对登录态页面加 private,但手动拼接口或配置 CDN 时,容易忽略这一点。上线前多问一句:“这页面能被别人看到吗?”能避免大问题。
网络安全不光是防黑客攻击,也藏在这些看似不起眼的配置细节里。一个缓存头,可能就是隐私防线的第一道门。