这些指令不会减轻任何安全风险。它们实际上是为了迫使UA更新不稳定的信息，而不是阻止UA保留信息。看到这个类似的问题。至少，不能保证任何路由器、代理等也不会忽略缓存指令。

更积极的是，有关计算机物理访问、软件安装等方面的政策将使您在安全方面领先于大多数公司。如果这些信息的消费者是公众，你唯一能做的就是帮助他们明白，一旦信息到达他们的机器，那台机器就是他们的责任，而不是你的责任。

RFC for HTTP 1.1指出，正确的方法是为以下内容添加HTTP标头：

缓存控制：无缓存

如果较旧的浏览器不符合HTTP 1.1，它们可能会忽略这一点。对于那些你可以尝试标题：

Pragma：无缓存

这也适用于HTTP1.1浏览器。

不确定我的答案听起来是否简单和愚蠢，也许你早就知道了，但由于阻止某人使用浏览器后退按钮查看历史页面是你的目标之一，你可以使用：

window.location.replace（“https://www.example.com/page-not-to-be-viewed-in-browser-history-back-button.html");

当然，这可能不可能在整个网站上实现，但至少对于一些关键页面，您可以做到这一点。希望这有帮助。

经过一番研究，我们得出了以下标题列表，这些标题似乎涵盖了大多数浏览器：

有效期：1997年7月26日星期六05:00:00 GMT缓存控制：无缓存，私有，必须重新验证，最大失效=0，后检查=0，预检查=0无存储Pragma：无缓存

在ASP.NET中，我们使用以下代码段添加了这些代码：

Response.ClearHeaders(); 
Response.AppendHeader("Cache-Control", "no-cache"); //HTTP 1.1
Response.AppendHeader("Cache-Control", "private"); // HTTP 1.1
Response.AppendHeader("Cache-Control", "no-store"); // HTTP 1.1
Response.AppendHeader("Cache-Control", "must-revalidate"); // HTTP 1.1
Response.AppendHeader("Cache-Control", "max-stale=0"); // HTTP 1.1 
Response.AppendHeader("Cache-Control", "post-check=0"); // HTTP 1.1 
Response.AppendHeader("Cache-Control", "pre-check=0"); // HTTP 1.1 
Response.AppendHeader("Pragma", "no-cache"); // HTTP 1.0 
Response.AppendHeader("Expires", "Sat, 26 Jul 1997 05:00:00 GMT"); // HTTP 1.0 

从以下位置找到：http://forums.asp.net/t/1013531.aspx

请参阅此链接以获取有关缓存的案例研究：

http://securityevaluators.com/knowledge/case_studies/caching/

总之，根据文章，只有缓存控制：没有商店在Chrome、Firefox和IE上运行。IE接受其他控制，但Chrome和Firefox不接受。该链接是一个很好的阅读，包括缓存和记录概念证明的历史。

接受的答案似乎不适用于IIS7+，因为II7中存在大量关于未发送缓存头的问题：

某些事情正在迫使响应具有缓存控制：IIS7中的私有IIS7:缓存设置不工作。。。为什么？IIS7+ASP.NET MVC客户端缓存标头不工作为aspx页面设置缓存控制缓存控制：没有存储，必须重新验证，不能发送到IIS7+ASP.NET MVC中的客户端浏览器

等等

接受的答案是正确的，必须在哪些标题中设置，但不能在如何设置标题中设置。这种方式适用于IIS7：

Response.Cache.SetCacheability(HttpCacheability.NoCache);
Response.Cache.AppendCacheExtension("no-store, must-revalidate");
Response.AppendHeader("Pragma", "no-cache");
Response.AppendHeader("Expires", "-1");

第一行将Cache控件设置为no Cache，第二行添加其他属性no store，must revalidate