Estoy probando una aplicación web en la que algunas solicitudes devuelven datos privados, que no deberían guardarse en la memoria caché. La respuesta contiene encabezados:
Cache-Control: no-cache, no-store, must-revalidate
Pragma: no-cache
Expires: -1
Encontré aquí enlace que expira: -1 significa que estas páginas nunca se almacenan en caché, por lo que parece correcto.
Pero OWASP ASVS recomienda:
Expires: Tue, 03 Jul 2001 06:00:00 GMT
Last-Modified: {now} GMT
Cache-Control: no-store, no-cache, must-revalidate, max-age=0
Cache-Control: post-check=0, pre-check=0
Pragma: no-cache
¿Son necesarios todos los encabezados y debería agregarlos o está bien ahora mismo?