Cache-Control

Das allgemeine Header-Feld Cache-Control wird benutzt um Direktiven für Caching-Mechanismen, sowohl für Requests als auch für Responses, zu spezifizieren. Caching-Direktiven sind unidirektional, das bedeutet dass eine Direktive in einem Request nicht impliziert, dass die gleiche Direktive auch in einem Response zurückkommen muss.

Header type General header
Forbidden header name nein
CORS-safelisted response-header ja

Syntax

Die Direktiven beachten Groß- und Kleinschreibung und haben optionale Argumente, die sowohl Token-Syntax als auch Zeichenketten mit Anführungszeichen verwenden. Mehrere Direktiven werden kommasepariert.

Cache Request Direktiven

Standard Cache-Control Direktiven, die vom Client in einem HTTP Request verwendet werden können.

Cache-Control: max-age=<seconds>
Cache-Control: max-stale[=<seconds>]
Cache-Control: min-fresh=<seconds>
Cache-Control: no-cache 
Cache-Control: no-store
Cache-Control: no-transform
Cache-Control: only-if-cached

Cache Response Direktiven

Standard Cache-Control Direktiven, die vom Server in einer HTTP Response verwendet werden können.

Cache-Control: must-revalidate
Cache-Control: no-cache
Cache-Control: no-store
Cache-Control: no-transform
Cache-Control: public
Cache-Control: private
Cache-Control: proxy-revalidate
Cache-Control: max-age=<seconds>
Cache-Control: s-maxage=<seconds>

Erweiterungs Cache-Control Direktiven

Erweiterungs Cache-Control Direktiven sind nicht Teil des Kern HTTP Caching Standard-Dokuments. Prüfen Sie die Unterstützung in der Kompatibilitätstabelle.

Cache-Control: immutable 
Cache-Control: stale-while-revalidate=<seconds>
Cache-Control: stale-if-error=<seconds>

Direktiven

Cachebarkeit

public
Kennzeichen dass die Response von jedem Cache gecached werden dürfen.
private
Kennzeichen dass die Response für einen einzigen Benutzer gedacht ist, und nicht von einem geteilten Cache gespeichert werden dürfen. Ein privater Cache darf die Response speichern.
no-cache
Zwingt Caches den Request dem Ursprungs-Server zuzustellen, um die Gültigkeit zu validieren, bevor eine gecachte Kopie freigegeben wird.
only-if-cached
Gibt an, dass keine neue Daten abgerufen werden sollen. Der Client möchte nur eine gecachte Response erhalten und sollte nicht den Ursprungs-Server kontaktieren, um zu prüfen, ob eine neuere Kopie existiert.

Cache-Verfall

max-age=<seconds>
Spezifiziert die maximale Zeitdauer, die eine Ressource als aktuell betrachtet wird. Im Gegensatz zu Expires, ist diese Direktive relativ zum Zeitpunkt des Requests.
s-maxage=<seconds>
Überschreibt max-age oder den Expires Header, bezieht sich allerdings nur auf geteilte Caches (z.B. Proxyserver) und wird von einem privaten Cachen ignoriert.
max-stale[=<seconds>]
Gibt an, dass der Client bereit ist eine Response zu akzeptieren, die ihre Ablaufzeit überschritten hat. Optional können Sie einen Wert in Sekunden angeben, der die Zeit angibt, die eine Response höchstens abgelaufen sein darf.
min-fresh=<seconds>
Gibt an, dass der Client eine Response erwartet, die mindestens noch für die angegebene Zeit aktuell ist.
stale-while-revalidate=<seconds>
Gibt an, dass der Client bereit ist eine abgelaufene Response zu akzeptieren, während im Hintergrund asynchron auf eine Aktualisierung geprüft wird. Der zweite Wert gibt an für wie lange der Client bereit ist die abgelaufene Response zu akzeptieren.
stale-if-error=<seconds>
...

Revalidierung und Neuladen

must-revalidate
Der Cache muss den Status der abgelaufenen Ressource überprüfen bevor sie verwendet wird. Abgelaufene Ressourcen sollten nicht verwendet werden.
proxy-revalidate
Gleich wie must-revalidate, aber bezieht sich nur auf geteilte Caches (z.B. Proxyserver) und wird von einem privaten Cache ignoriert.
immutable
Gibt an, dass der Response-Body sich nicht im Laufe der Zeit ändern wird. Falls die Ressource noch nicht abgelaufen ist, ist sie auf dem Server unverändert und daher sollte der Client, selbst wenn der Benutzer die Seite explizit aktualisiert, nicht eine bedingte Revalidierung schicken (z.B. If-None-Match oder If-Modified-Since) , um auf Aktualisierungen zu prüfen Die Ressource . Clients, denen diese Erweiterung unbekannt ist, müssen sie nach der HTTP-Spezifikation ignorieren. In Firefox, immutable wird nur bei https:// Transaktionen beachtet. Für mehr Informationen, siehe auch diesen Blogpost.

Weitere

no-store
Der Cache sollte nichts über den Client-Request oder die Server-Response speichern.
no-transform
Es sollte keinerlei Transformation oder Konvertierung der Ressoruce durchgeführt werden. Die Content-Encoding, Content-Range, Content-Type Headers dürfen nicht durch einen Proxyserver verändert werden. Ein nicht-transparenter Proxy könnte beispielsweise zwischen Bildformaten konvertieren, um Speicherplatz im Cache zu sparen oder den Datenverkehr bei einer langsamen Verbindung zu reduzieren. Die no-transform Direktive verbietet dies.

Beispiele

Caching verhindern

Um Caching abzuschalten können Sie den folgenden Response Header schicken. Beachten Sie ggf. zusätzlich die Expires und Pragma Header.

Cache-Control: no-cache, no-store, must-revalidate

Statische Assets cachen

Für die Dateien einer Anwendung, die sich nicht ändern werden, können Sie normalerweise aggressives Caching nutzen, indem Sie den untenstehenden Response-Header senden. Dies schließt statische Dateien ein, die von der Anwendung bereitgestellt werden, wie z.B. Bilder, CSS- und JavaScript-Dateien. Beachten Sie außerdem den Expires Header.

Cache-Control: public, max-age=31536000

Spezifikationen

Specification Title
RFC 7234 Hypertext Transfer Protocol (HTTP/1.1): Caching
RFC 5861 HTTP Cache-Control Extensions for Stale Content
RFC 8246 HTTP Immutable Responses

Browser Kompatibilität

Update compatibility data on GitHub
DesktopMobile
ChromeEdgeFirefoxInternet ExplorerOperaSafariAndroid WebviewChrome für AndroidFirefox für AndroidOpera für AndroidSafari auf iOSSamsung Internet
Cache-ControlChrome Vollständige Unterstützung JaEdge Vollständige Unterstützung JaFirefox Vollständige Unterstützung JaIE Vollständige Unterstützung JaOpera Vollständige Unterstützung JaSafari Vollständige Unterstützung JaWebView Android Vollständige Unterstützung JaChrome Android Vollständige Unterstützung JaFirefox Android Vollständige Unterstützung JaOpera Android Vollständige Unterstützung JaSafari iOS Vollständige Unterstützung JaSamsung Internet Android Vollständige Unterstützung Ja
immutable
Experimentell
Chrome Keine Unterstützung Nein
Hinweise
Keine Unterstützung Nein
Hinweise
Hinweise See Chromium bug 611416.
Edge Vollständige Unterstützung 15Firefox Vollständige Unterstützung 49IE Keine Unterstützung NeinOpera Keine Unterstützung NeinSafari Vollständige Unterstützung 11WebView Android Keine Unterstützung NeinChrome Android Keine Unterstützung NeinFirefox Android Keine Unterstützung NeinOpera Android Keine Unterstützung NeinSafari iOS Vollständige Unterstützung 11Samsung Internet Android Keine Unterstützung Nein
stale-if-error
ExperimentellNicht standardisiert
Chrome Keine Unterstützung Nein
Hinweise
Keine Unterstützung Nein
Hinweise
Hinweise See Chromium bug 348877.
Edge Keine Unterstützung NeinFirefox Keine Unterstützung Nein
Hinweise
Keine Unterstützung Nein
Hinweise
Hinweise See Bugzilla bug 995651 comment 7.
IE Keine Unterstützung NeinOpera Keine Unterstützung NeinSafari Keine Unterstützung NeinWebView Android Keine Unterstützung NeinChrome Android Keine Unterstützung NeinFirefox Android Keine Unterstützung NeinOpera Android Keine Unterstützung NeinSafari iOS Keine Unterstützung NeinSamsung Internet Android Keine Unterstützung Nein
stale-while-revalidate
ExperimentellNicht standardisiert
Chrome Vollständige Unterstützung 75Edge Keine Unterstützung NeinFirefox Vollständige Unterstützung 68IE Keine Unterstützung NeinOpera Keine Unterstützung NeinSafari Keine Unterstützung NeinWebView Android Vollständige Unterstützung 75Chrome Android Vollständige Unterstützung 75Firefox Android Vollständige Unterstützung 68Opera Android Keine Unterstützung NeinSafari iOS Keine Unterstützung NeinSamsung Internet Android Keine Unterstützung Nein

Legende

Vollständige Unterstützung  
Vollständige Unterstützung
Keine Unterstützung  
Keine Unterstützung
Experimentell. Das Verhalten kann sich zukünftig ändern.
Experimentell. Das Verhalten kann sich zukünftig ändern.
Nicht standardisiert. Erwarte schlechte browserübergreifende Unterstützung.
Nicht standardisiert. Erwarte schlechte browserübergreifende Unterstützung.
Siehe Implementierungshinweise.
Siehe Implementierungshinweise.

Siehe auch

Zuletzt verändert:

, by MDN contributors
Verwandte Themen
  1. HTTP
  2. Guides:
  3. Resources and URIs
    1. Identifying resources on the Web
    2. Data URIs
    3. Introduction to MIME Types
    4. Complete list of MIME Types
    5. Choosing between www and non-www URLs
  4. HTTP guide
    1. Basics of HTTP
    2. Overview of HTTP
    3. Evolution of HTTP
    4. HTTP Messages
    5. A typical HTTP session
    6. Connection management in HTTP/1.x
    7. Protocol upgrade mechanism
  5. HTTP security
    1. Content Security Policy (CSP)
    2. HTTP Public Key Pinning (HPKP)
    3. HTTP Strict Transport Security (HSTS)
    4. Cookie security
    5. X-Content-Type-Options
    6. X-Frame-Options
    7. X-XSS-Protection
    8. Mozilla web security guidelines
    9. Mozilla Observatory
  6. HTTP access control (CORS)
  7. HTTP authentication
  8. HTTP caching
  9. HTTP compression
  10. HTTP conditional requests
  11. HTTP content negotiation
  12. HTTP cookies
  13. HTTP range requests
  14. HTTP redirects
  15. HTTP specifications
  16. Feature policy
  17. References:
  18. HTTP headers
    1. Accept [Übersetzen]
    2. Accept-Charset [Übersetzen]
    3. Accept-Encoding [Übersetzen]
    4. Accept-Language [Übersetzen]
    5. Accept-Patch [Übersetzen]
    6. Accept-Ranges [Übersetzen]
    7. Access-Control-Allow-Credentials [Übersetzen]
    8. Access-Control-Allow-Headers [Übersetzen]
    9. Access-Control-Allow-Methods [Übersetzen]
    10. Access-Control-Allow-Origin [Übersetzen]
    11. Access-Control-Expose-Headers [Übersetzen]
    12. Access-Control-Max-Age [Übersetzen]
    13. Access-Control-Request-Headers [Übersetzen]
    14. Access-Control-Request-Method [Übersetzen]
    15. Age
    16. Allow [Übersetzen]
    17. Alt-Svc [Übersetzen]
    18. Authorization [Übersetzen]
    19. Cache-Control
    20. Clear-Site-Data [Übersetzen]
    21. Connection [Übersetzen]
    22. Content-Disposition [Übersetzen]
    23. Content-Encoding [Übersetzen]
    24. Content-Language [Übersetzen]
    25. Content-Length [Übersetzen]
    26. Content-Location [Übersetzen]
    27. Content-Range [Übersetzen]
    28. Content-Security-Policy [Übersetzen]
    29. Content-Security-Policy-Report-Only [Übersetzen]
    30. Content-Type [Übersetzen]
    31. Cookie
    32. Cookie2 [Übersetzen]
    33. Cross-Origin-Resource-Policy [Übersetzen]
    34. DNT
    35. Date [Übersetzen]
    36. Digest [Übersetzen]
    37. ETag [Übersetzen]
    38. Early-Data [Übersetzen]
    39. Expect [Übersetzen]
    40. Expect-CT [Übersetzen]
    41. Expires
    42. Feature-Policy [Übersetzen]
    43. Forwarded [Übersetzen]
    44. From [Übersetzen]
    45. Host [Übersetzen]
    46. If-Match [Übersetzen]
    47. If-Modified-Since [Übersetzen]
    48. If-None-Match [Übersetzen]
    49. If-Range [Übersetzen]
    50. If-Unmodified-Since [Übersetzen]
    51. Index [Übersetzen]
    52. Keep-Alive [Übersetzen]
    53. Large-Allocation [Übersetzen]
    54. Last-Modified [Übersetzen]
    55. Link [Übersetzen]
    56. Location [Übersetzen]
    57. Origin [Übersetzen]
    58. Pragma [Übersetzen]
    59. Proxy-Authenticate [Übersetzen]
    60. Proxy-Authorization [Übersetzen]
    61. Public-Key-Pins [Übersetzen]
    62. Public-Key-Pins-Report-Only [Übersetzen]
    63. Range [Übersetzen]
    64. Referer
    65. Referrer-Policy [Übersetzen]
    66. Retry-After [Übersetzen]
    67. Save-Data [Übersetzen]
    68. Sec-WebSocket-Accept [Übersetzen]
    69. Server
    70. Server-Timing [Übersetzen]
    71. Set-Cookie [Übersetzen]
    72. Set-Cookie2 [Übersetzen]
    73. SourceMap [Übersetzen]
    74. Strict-Transport-Security [Übersetzen]
    75. TE [Übersetzen]
    76. Timing-Allow-Origin [Übersetzen]
    77. Tk
    78. Trailer [Übersetzen]
    79. Transfer-Encoding [Übersetzen]
    80. Upgrade-Insecure-Requests [Übersetzen]
    81. User-Agent
    82. Vary [Übersetzen]
    83. Via [Übersetzen]
    84. WWW-Authenticate [Übersetzen]
    85. Want-Digest [Übersetzen]
    86. Warning [Übersetzen]
    87. X-Content-Type-Options
    88. X-DNS-Prefetch-Control [Übersetzen]
    89. X-Forwarded-For [Übersetzen]
    90. X-Forwarded-Host [Übersetzen]
    91. X-Forwarded-Proto [Übersetzen]
    92. X-Frame-Options
    93. X-XSS-Protection [Übersetzen]
  19. HTTP request methods
    1. CONNECT
    2. DELETE
    3. GET [Übersetzen]
    4. HEAD [Übersetzen]
    5. OPTIONS [Übersetzen]
    6. PATCH [Übersetzen]
    7. POST [Übersetzen]
    8. PUT [Übersetzen]
    9. TRACE [Übersetzen]
  20. HTTP response status codes
    1. 100 Continue
    2. 101 Switching Protocols [Übersetzen]
    3. 103 Early Hints [Übersetzen]
    4. 200 OK
    5. 201 Created [Übersetzen]
    6. 202 Accepted [Übersetzen]
    7. 203 Non-Authoritative Information [Übersetzen]
    8. 204 No Content [Übersetzen]
    9. 205 Reset Content [Übersetzen]
    10. 206 Partial Content [Übersetzen]
    11. 300 Multiple Choices [Übersetzen]
    12. 301 Moved Permanently [Übersetzen]
    13. 302 Found
    14. 303 See Other [Übersetzen]
    15. 304 Not Modified
    16. 307 Temporary Redirect [Übersetzen]
    17. 308 Permanent Redirect [Übersetzen]
    18. 400 Bad Request
    19. 401 Unauthorized
    20. 402 Payment Required
    21. 403 Forbidden
    22. 404 Not Found
    23. 405 Method Not Allowed [Übersetzen]
    24. 406 Not Acceptable [Übersetzen]
    25. 407 Proxy Authentication Required [Übersetzen]
    26. 408 Request Timeout [Übersetzen]
    27. 409 Conflict [Übersetzen]
    28. 410 Gone
    29. 411 Length Required [Übersetzen]
    30. 412 Precondition Failed [Übersetzen]
    31. 413 Payload Too Large [Übersetzen]
    32. 414 URI Too Long
    33. 415 Unsupported Media Type [Übersetzen]
    34. 416 Range Not Satisfiable [Übersetzen]
    35. 417 Expectation Failed [Übersetzen]
    36. 418 I'm a teapot
    37. 422 Unprocessable Entity [Übersetzen]
    38. 425 Too Early [Übersetzen]
    39. 426 Upgrade Required [Übersetzen]
    40. 428 Precondition Required [Übersetzen]
    41. 429 Too Many Requests [Übersetzen]
    42. 431 Request Header Fields Too Large [Übersetzen]
    43. 451 Unavailable For Legal Reasons [Übersetzen]
    44. 500 Internal Server Error
    45. 501 Not Implemented [Übersetzen]
    46. 502 Bad Gateway [Übersetzen]
    47. 503 Service Unavailable
    48. 504 Gateway Timeout
    49. 505 HTTP Version Not Supported
    50. 511 Network Authentication Required
  21. CSP directives
    1. CSP: base-uri [Übersetzen]
    2. CSP: block-all-mixed-content [Übersetzen]
    3. CSP: child-src [Übersetzen]
    4. CSP: connect-src [Übersetzen]
    5. CSP: default-src [Übersetzen]
    6. CSP: font-src [Übersetzen]
    7. CSP: form-action [Übersetzen]
    8. CSP: frame-ancestors [Übersetzen]
    9. CSP: frame-src [Übersetzen]
    10. CSP: img-src [Übersetzen]
    11. CSP: manifest-src [Übersetzen]
    12. CSP: media-src [Übersetzen]
    13. CSP: navigate-to [Übersetzen]
    14. CSP: object-src [Übersetzen]
    15. CSP: plugin-types [Übersetzen]
    16. CSP: prefetch-src [Übersetzen]
    17. CSP: referrer [Übersetzen]
    18. CSP: report-to [Übersetzen]
    19. CSP: report-uri [Übersetzen]
    20. CSP: require-sri-for [Übersetzen]
    21. CSP: sandbox [Übersetzen]
    22. CSP: script-src [Übersetzen]
    23. CSP: script-src-attr [Übersetzen]
    24. CSP: script-src-elem [Übersetzen]
    25. CSP: style-src [Übersetzen]
    26. CSP: style-src-attr [Übersetzen]
    27. CSP: style-src-elem [Übersetzen]
    28. CSP: trusted-types [Übersetzen]
    29. CSP: upgrade-insecure-requests [Übersetzen]
    30. CSP: worker-src [Übersetzen]
  22. CORS errors
    1. Reason: CORS disabled [Übersetzen]
    2. Reason: CORS header 'Access-Control-Allow-Origin' does not match 'xyz' [Übersetzen]
    3. Grund: CORS header 'AccessGrund: CORS-Kopfzeile 'Access-Control-Allow-Origin' fehlt
    4. Reason: CORS header ‘Origin’ cannot be added [Übersetzen]
    5. Reason: CORS preflight channel did not succeed [Übersetzen]
    6. Reason: CORS request did not succeed
    7. Reason: CORS request external redirect not allowed [Übersetzen]
    8. Ursache: CORS Anfrage nicht HTTP
    9. Reason: Credential is not supported if the CORS header ‘Access-Control-Allow-Origin’ is ‘*’ [Übersetzen]
    10. Reason: Did not find method in CORS header ‘Access-Control-Allow-Methods’ [Übersetzen]
    11. Reason: Multiple CORS header 'Access-Control-Allow-Origin' not allowed [Übersetzen]
    12. Reason: expected ‘true’ in CORS header ‘Access-Control-Allow-Credentials’ [Übersetzen]
    13. Reason: invalid token ‘xyz’ in CORS header ‘Access-Control-Allow-Headers’ [Übersetzen]
    14. Reason: invalid token ‘xyz’ in CORS header ‘Access-Control-Allow-Methods’ [Übersetzen]
    15. Reason: missing token ‘xyz’ in CORS header ‘Access-Control-Allow-Headers’ from CORS preflight channel [Übersetzen]
  23. Feature-Policy directives
    1. Feature-Policy: accelerometer [Übersetzen]
    2. Feature-Policy: ambient-light-sensor [Übersetzen]
    3. Feature-Policy: autoplay [Übersetzen]
    4. Feature-Policy: camera [Übersetzen]
    5. Feature-Policy: display-capture [Übersetzen]
    6. Feature-Policy: document-domain [Übersetzen]
    7. Feature-Policy: encrypted-media [Übersetzen]
    8. Feature-Policy: fullscreen [Übersetzen]
    9. Feature-Policy: geolocation [Übersetzen]
    10. Feature-Policy: gyroscope [Übersetzen]
    11. Feature-Policy: layout-animations [Übersetzen]
    12. Feature-Policy: legacy-image-formats [Übersetzen]
    13. Feature-Policy: magnetometer [Übersetzen]
    14. Feature-Policy: microphone [Übersetzen]
    15. Feature-Policy: midi [Übersetzen]
    16. Feature-Policy: oversized-images [Übersetzen]
    17. Feature-Policy: payment [Übersetzen]
    18. Feature-Policy: picture-in-picture [Übersetzen]
    19. Feature-Policy: speaker [Übersetzen]
    20. Feature-Policy: sync-xhr [Übersetzen]
    21. Feature-Policy: unoptimized-images [Übersetzen]
    22. Feature-Policy: unsized-media [Übersetzen]
    23. Feature-Policy: usb [Übersetzen]
    24. Feature-Policy: vibrate [Übersetzen]
    25. Feature-Policy: vr [Übersetzen]
    26. Feature-Policy: wake-lock [Übersetzen]
    27. Feature-Policy: webauthn [Übersetzen]
    28. Feature-Policy: xr [Übersetzen]