有人整理了一份避坑清单，91网页版，91大事件：关于缓存设置的说法｜结果下一秒就反转！！大家自己判断

有人整理了一份避坑清单，91网页版，91大事件：关于缓存设置的说法｜结果下一秒就反转！！大家自己判断

引子 最近围绕“91网页版”相关的缓存设置，说法一路翻转：先是有人断言某种缓存策略会彻底解决问题，下一秒又有人拿出证据证明那种做法反而带来了更严重的缓存失效或隐私风险。网络上观点纷杂，容易被表面结论带偏。下面把关键概念、常见误区、实操避坑清单和检测方法梳理出来，方便你快速判断哪些说法靠谱、哪些需要怀疑，并给出可直接落地的配置举例。

事件回顾（简短） 很多讨论源自两类场景：一是页面内容更新后用户仍看到旧内容；二是登录/权限相关页面被缓存导致信息泄露。有人基于单次观察或单一环境得出结论（比如“把 Cache-Control 设成 no-cache 就万无一失”），但不同 CDN、浏览器和中间代理对缓存头的处理不同，结果有反转。结论：单一测试不足以代表普适结论——要看整体链路和用例。

缓存基础速览（关键概念）

• Cache-Control：核心指令（max-age、no-cache、no-store、public、private、must-revalidate）决定浏览器与中间缓存如何处理响应。
• Expires：旧式过期时间，优先级被 Cache-Control 覆盖。
• ETag / Last-Modified：用于条件请求，协助判断资源是否改动以决定是否返回 304。
• Vary：指示缓存因哪些请求头不同而分别缓存（常见为 Vary: Accept-Encoding、Vary: Cookie）。
• CDN 缓存层与浏览器缓存是两条链路：CDN 可能缓存并返回给多用户，而浏览器缓存只对单用户生效。
• 服务工作线程（Service Worker）：会拦截请求并可能绕过或自定义缓存策略。

常见误区与“为什么会反转”

• 误用 no-cache 与 no-store：no-cache 并非不缓存，而是要求在使用前向源服务器验证；no-store 则表示不存储。把两者混淆会造成预期外的行为。
• 忽视 Vary 头：忽略 Vary 导致 CDN 缓存了针对某种 Accept-Encoding 或 Cookie 的响应，返回给不应该的用户群体。
• 只看浏览器表现：开发者在本地浏览器清缓存测试通过，但没考虑 CDN 缓存或 ISP 代理仍在返回旧版资源。
• 忽略缓存层次：前端团队可能调整了前端缓存策略，而后端或 CDN 缓存策略未同步，导致“修复”没实际生效。
• 单次抓包断章取义：一次 HTTP 响应的头部不能代表全链路。不同地域、不同节点可能行为不同。

实用避坑清单（可直接拿去执行） 1) 明确资源分级

• 静态资源（图片、JS、CSS）用长缓存 + 资源指纹（hash）做缓存破坏（cache busting）。
• 动态或敏感页面使用短缓存或 no-store，根据登录/权限决定 private 或禁止 CDN 缓存。 2) 使用正确的 Cache-Control
• 静态：Cache-Control: public, max-age=31536000, immutable（配合文件名含 hash）。
• 动态非敏感：Cache-Control: public, max-age=60, stale-while-revalidate=30（谨慎使用）。
• 登录/隐私页面：Cache-Control: no-store, no-cache, must-revalidate（同时设置 Vary: Cookie）。 3) 设置 Vary 头
• 需要区分用户或编码时加 Vary: Cookie 或 Vary: Accept-Encoding，避免把用户 A 的响应发给用户 B。 4) ETag 与协商缓存
• ETag 可减少带宽，但在多节点部署下需保证 ETag 可跨节点统一（或禁用 ETag，改用 Last-Modified）。 5) CDN 配置同步
• 在 CDN 上明确哪些路径可缓存、哪些绕过缓存（cache key、query string 规则）。
• 检查 CDN 返回头（如 Cloudflare 的 cf-cache-status）。 6) 版本化与资源名策略
• 所有静态资源通过文件名指纹化来实现可靠的缓存失效。 7) 测试覆盖多节点与无痕模式
• 不要只在本地测试，使用 curl、线上节点或多地域的工具来验证。 8) 日志与回滚策略
• 变更缓存策略要能迅速回滚，并保留访问日志便于排查。 9) 服务工作线程谨慎使用
• 如果存在 Service Worker，确保其缓存策略与服务器头部一致，或在部署时清理旧 SW。

常用检测与排查命令/步骤

• 查看响应头（快速） curl -I https://example.com/path
• 强制条件请求测试 curl -H "Cache-Control: no-cache" -I https://example.com/path
• 查看 CDN 缓存状态（示例：Cloudflare） 检查响应头 cf-cache-status（HIT、MISS、EXPIRED 等）。
• 浏览器 DevTools Network 面板看 Size、Status、Response Headers 中的 Cache-Control、ETag、Vary。
• 多地域测试 用在线工具（例如 pingdom、webpagetest、多节点 curl）来验证不同节点行为。
• 检查服务器端日志 看是否有大量来自 CDN 或代理的请求命中源站。

Nginx 简单配置示例（参考）

• 静态资源（长缓存） location ~* .(js|css|png|jpg|jpeg|gif|svg)$ { add_header Cache-Control "public, max-age=31536000, immutable"; }
• 登录页（不缓存） location /account/ { addheader Cache-Control "no-store, no-cache, must-revalidate, proxy-revalidate"; addheader Vary "Cookie"; }

结尾与判断点 面对网络上各种断言，可以用两个过滤器快速判断其可信度：

• 是否解释了“适用场景”？（某种策略适合静态文件，但不适合登录页）
• 是否给出多节点、多工具的测试结果，而不是单一环境截图？

大家自己判断：若某篇“终极结论”没有给出以上分层说明与多环境验证，就当作参考而非定论。按避坑清单落实一遍，问题通常能被定位并正确解决。需要我帮你把某个具体 URL 或配置去检查、出具一份针对性的缓存设置建议吗？我可以根据你的环境给出更精确的步骤和命令。