HTTP кэширование

Производительность веб-сайтов и приложений можно значительно повысить за счет повторного использования ранее собранных ресурсов. Кеши веб сокращают задержку и снижают сетевой траффик, уменьшая тем самым время, необходимое для отображения ресурсов. Используя HTTP-кеширование, сайты становятся более отзывчивыми.



 

Различные виды кэширования

Кеширование - этот метод, заключающийся в сохранении копии полученного ресурса, чтобы вернуть ее по запросу. Запрос на ресурс, уже имеющийся в веб-кеше, перехватывается, и вместо обращения к исходному серверу выполняется загрузка копии из кеша. Таким образом снижается нагрузка на сервер, которому не приходится самому обслуживать всех клиентов, и повышается производительность - кеш ближе к клиенту, и ресурс передается быстрее. Кеширование является  основным источником повышения производительности веб-сайтов. Однако, кеш надо правильно сконфигурировать: ресурсы редко остаются неизменными, так что копию требуется хранить только до того момента, как ресурс изменился, но не дольше.

Существует несколько видов кешей, которые можно разделить на две основные категории: приватные кеши и кеши совместного использования. В кешах совместного использования (shared cache) хранятся копии, которые могут направляться разным пользователями. Приватный кеш (private cache) предназначен для отдельного пользователя. Здесь будет говориться в основном о кешах браузеров и прокси, но существуют также кеши шлюзов, CDN, реверсные прокси кеши и балансировщики нагрузки, разворачиваемые на серверах для повышения надежности, производительности и масштабируемости веб-сайтов и веб-приложений.



 

What a cache provide, advantages/disadvantages of shared/private caches.

Приватный (private) кэш браузера

Приватный кеш предназначен для отдельного пользователя. Вы, возможно, уже видели параметры "кеширования" в настройках своего браузера. Кеш браузера содержит все документы, загруженные пользователем через HTTP. Он используется, чтобы можно было пролистывать назад/вперед загруженные ранее страницы, сохранять или использовать их в качестве ресурса, не обращаясь лишний раз к серверу. Кроме того, кеш полезен при отключении от сети.

Общий (shared) прокси-кэш

Кеш совместного использования - это кеш, который сохраняет отклики, чтобы их потом могли использовать разные пользователи. Прокси, обслуживающий множество пользователей, может установить, например, ваш провайдер или компания в своей  локальной сети,  чтобы можно было повторно использовать популярные ресурсы, сокращая тем самым сетевой траффик и время ожидания.

Цели кэширования

Кеширование в HTTP не является обязательным, однако в большинстве случаев бывает полезно повторно использовать ранее сохраненных ресурсов. Тем не менее, стандартные кеши HTTP обычно способны кешировать только отклики метода GET, а другие отклоняют.

Первичный ключ состоит из метода запроса и запрашивемого URI (зачастую используется только URI, поскольку целью кеширования являются только запросы метода GET ). Вот примеры того, что обычно записывается в кеш:

  • Сообщение об успехе запроса: отклик 200 (OK) на запрос методом GET HTML-документов, изображений или файлов.
  • Постоянная переадресация: отклик 301 (Moved Permanently - Перемещен).
  • Сообщение об ошибке: страница 404 (Not Found - Не найдено).
  • Сообщение, что результат не полон: отклик 206 (Partial Content - Часть содержимого).

  • Отклики методов, отличных от GET, если есть что-либо, подходящее для использования в качестве ключа кеша.

Запись в кеше может также состоять из множества откликов, различаемых по вторичному ключу, если целью запроса является согласование данных. Подробнее об этом рассказано ниже, в разделе, посвященному заголовку Vary.

Управление кэшированием

Заголовок Cache-control

Поле Cache-Control общего заголовка HTTP/1.1 используется для задания инструкций по механизму кеширования как в запросах, так и в ответах. Применяется для задания политик кеширования.

Полное отсутствие кеширования

В кеше не должно сохраняться ничего - ни по запросам клиента, ни по откликам сервера. Запрос всегда отправляется на сервер, ответ всегда загружается полностью.

Cache-Control: no-store
Cache-Control: no-cache, no-store, must-revalidate

Не кешировать

Перед тем, как выдать копию, кеш запрашивает исходный сервер на предмет актуальности ресурса.

Cache-Control: no-cache

Приватные (private) и общие (public) кеши

Директива "public" указывает, что ответ можно сохранять в любом кеше. Это бывает полезно, если возникает потребность сохранить страницы с аутентификационной информацией HTTP или кодами статуса, которые обычно не кешируются. Директива же "private" указывает, что ответ предназначен отдельному пользователю и не должен, таким образом, храниться в кеше совместного использования. В этом случае ответ может  сохраняться приватным кешем браузера.

Cache-Control: private
Cache-Control: public

Срок действия (Expiration)

Самой важной является директива "max-age=<seconds>" - максимальное время, в течение которого ресурс  считается "свежим". В отличие от директивы Expires, она привязана к моменту запроса. Для тех файлов, которые не должны меняться, можно использовать "агрессивное" кеширование. Сюда входят статичные файлы, такие как изображения, файлы стилей (CSS) или скриптов (JavaScript).

Подробнее об этом рассказывается в разделе Свежесть ресурса.

Cache-Control: max-age=31536000

Проверка актуальности

При использовании инструкции "must-revalidate" кеш обязан проверять статус ресурса с истекшим сроком действия. Те копии, что утратили актуальность, использоваться не должны. Подробнее об этом рассказано ниже, в соответствующем разделе

Cache-Control: must-revalidate

Заголовок Pragma

Pragma является заголовком HTTP/1.0. Он не задан для ответов HTTP,  таким образом, не может служить надежной заменой заголовку "Cache-Control: no-cache" протокола HTTP/1.1 Cache-Control, хотя и ведет себя аналогичным образом когда поле заголовка Cache-Control опущено в запросе. Использовать его следует только для совместимости с клиентами HTTP/1.0.

Свежесть сохраненной копии

Однажды попав в кеш, ресурс, теоретически, может храниться там вечно. Однако, поскольку объем хранилища конечен, записи периодически приходится оттуда удалять.  Этот процесс называют вытеснением данных из кеша (cache eviction). Кроме того, на сервере ресурсы могут изменяться, поэтому кеш требуется обновлять. Поскольку HTTP является клиент-серверным протоколом, сервера не могут сами обращаться к кешам и клиентам при изменении ресурса; им необходимо договориться о сроке действия  сохраненной копии. До его истечения ресурс считается свежим (fresh), после - устаревшим (stale). Алгоритмы вытеснения отдают предпочтение "свежим" ресурсам. Тем не менее, копия ресурса не удаляется из кеша сразу же по истечению ее срока действия. При получении запроса на соответствующий ресурс кеш предваряет его с заголовком If-None-Match на случай, если его копия все еще актуальна. Если это так, сервер возвращает заголовок 304 (Not Modified - Не изменен), а тело ресурса не посылает, экономя тем самым траффик.

Вот пример того, как протекает этот процесс при использовании совместного кеша прокси:



 

Show how a proxy cache acts when a doc is not cache, in the cache and fresh, in the cache and stale.

Время устаревания (freshnessLifetime) вычисляется на основании нескольких заголовков. Если задан заголовок "Cache-control: max-age=N", то время устаревания равно N. Если его нет, а это бывает очень часто, проверяется заголовок Expires, и, если он есть, то время устаревания берется равным значению заголовка Expires минус значение заголовка Date. Наконец, если нет ни того ни другого, смотрят заголовок Last-Modified.  Если он есть, то время устаревания равно значению заголовка Date минус значение заголовка Last-modified разделить на 10.
Срок действия вычисляется следующим образом:

expirationTime (срок действия) = responseTime + freshnessLifetime - currentAge (текущий возраст)

где responseTime - это время получения ответа по часам браузера.

Обновление статичных ресурсов (Revved resources)

Чем больше ресурсов кешируется, тем быстрее сайт реагирует на запросы и тем выше его производительность. Из этих соображений их "срок годности" имеет смысл делать как можно большим. Однако, возникает проблема с ресурсами, которые обновляются редко и нерегулярно. Их выгоднее всего кешировать, но трудно обновлять. Такие ресурсы можно найти в любой веб-странице:  файлы скриптов (JavaScript) и стилей (CSS) изменяются редко, но уж если это произошло, обновление надо произвести как можно быстрее.

Веб разработчики разработали метод, который Стив Сандерс (Steve Sounders) назвал оборачиваемостью (revving[1]).

Для редко обновляемых файлов используют особый способ именования: в их URL, обычно в имя файла, добавляют номер релиза или версии. Таким образом, каждый новый релиз считается отдельным отдельным ресурсом, срок устаревания которого отодвинут далеко в будущее, как правило, на год или больше. Недостатком этого метода является то, что для получения новых версий ресурса приходится обновлять все ссылки на него - это некоторое усложнение, справиться с которым разработчику помогает цепочка инструментов. Обновление статичных ресурсов влечет за собой обновление часто изменяемых ресурсов. Когда считываются те, считываются и новые версии этих.

Этот метод имеет дополнительное достоинство: одновременное обновление двух кешированных ресурсов не приводт к ситуации, при которой устаревшая версия одного ресурса используется вместе новой версией другого. Это очень важно для сайтов с взаимосвязанными файлами стилей CSS или JS-скриптов - связь может возникнуть, например, из-за ссылок на одни и те же элементы HTML-страницы.



 

Номер версии, добавляемый к статическому ресурсу, не обязательно записывать в виде стандартного номера версии наподобие 1.1.3, или даже в порядке возрастания. Это может быть что угодно, позволяющее избежеть совпадений - например, дата.

Валидация кеша

Валидация кеша запускается при нажатии пользователем кнопки перезагрузки. Кроме того, она может выполняться в ходе обычного режима просмотра, если кешированный ответ включает заголовок "Cache-control: must-revalidate". Другим фактором являются настройки кеширования (окно  Advanced->Cache preferences) - можно потребовать принудительной валидации при каждой загрузке документа.

При истечении срока годности документа он либо проходит валидацию, либо повторно доставляется с сервера. Валидация может выполняться только если у сервера есть сильный валидатор или слабый валидатор.



 

Заголовки ETag



 

Заголовок ответа ETag является непрозрачным для агента пользователя значением, которое можно использовать в качестве сильного валидатора. Агент пользователя, например, браузер, не знает, что представляет эта строка и не может предсказать, каким будет ее значение. Если заголовок ETag был частью ответа, клиент может вывести If-None-Match в заголовок будущих запросов для валидации кешированных ресурсов.

Заголовок ответа Last-Modified можно использовать в качестве слабого валидатора. Слабым он считается из-за того, что имеет 1-секундное разрешение. Если в ответе присутствует заголовок Last-Modified, то для валидации кешированного документа клиент может выводить в запросах заголовок  If-Modified-Since.

При запросе на валидацию сервер может либо проигнорировать его и послать стандартный ответ 200 OK, либо вернуть ответ 304 Not Modified (с пустым телом), указывая, таким образом, чтобы браузер взял копию из кеша. В последнем случае в ответ могут входить также заголовки для обновления срока действия кешированного ресурса.

Изменяющиеся ответы

Заголовок HTTP-ответов Vary определяет, как по заголовкам будущих ответов понять, что вместо ресурса с исходного сервера следует взять копию из кеша.

Если кеш получает запрос, который можно удовлетворить сохраненным в кеше ответом с заголовком Vary, то использовать этот ответ можно только при совпадении всех полей заголовка, названных заголовком Vary, в исходном (сохраненном в кеше) запроса и новом запросе.

The Vary header leads cache to use more HTTP headers as key for the cache.

Это может быть полезно, например, при динамическом обслуживании контента. При использовании заколовка Vary: User-Agent header кеширующие сервера, принимая решение о том, использовать ли страницу из кеша, дожны учитывать агент пользователя. Так можно избежать ситуации, когда пользователи мобильных устройств по ошибке получат десктоповую версию вашего сайта. Кроме того, это может помочь Google и другим поисковым системам обнаружить версию страницы, предназначенную для мобильных устройств, и, возможно, подскажет им, что не предполагается никакой маскировки (Cloaking).

Vary: User-Agent

Посколько значение заголовка User-Agent различается ("varies") у мобильных и десктоповых клиентов, кеши не станут по ошибке отсылать мобильные версии для десктоповых клиентов, и наоборот.

Смотрите также


 

Связанные темы
  1. HTTP
  2. Guides:
  3. Resources and URIs
    1. Identifying resources on the Web
    2. Data URIs
    3. Introduction to MIME Types
    4. Complete list of MIME Types
    5. Choosing between www and non-www URLs
  4. HTTP guide
    1. Basics of HTTP
    2. Overview of HTTP
    3. Evolution of HTTP
    4. HTTP Messages
    5. Базовая сессия
    6. Connection management in HTTP/1.x
    7. Protocol upgrade mechanism
  5. HTTP security
    1. Content Security Policy (CSP)
    2. HTTP Public Key Pinning (HPKP)
    3. HTTP Strict Transport Security (HSTS)
    4. Cookie security
    5. X-Content-Type-Options
    6. X-Frame-Options
    7. X-XSS-Protection
    8. Mozilla web security guidelines
    9. Mozilla Observatory
  6. HTTP контроль доступа (CORS)
  7. HTTP authentication
  8. HTTP caching
  9. HTTP compression
  10. HTTP conditional requests
  11. HTTP content negotiation
  12. Куки
  13. HTTP range requests
  14. HTTP redirects
  15. HTTP specifications
  16. Feature policy
  17. References:
  18. Заголовки
    1. Accept
    2. Accept-Charset
    3. Accept-Encoding [Перевести]
    4. Accept-Language
    5. Accept-Ranges
    6. Access-Control-Allow-Credentials [Перевести]
    7. Access-Control-Allow-Headers
    8. Access-Control-Allow-Methods
    9. Access-Control-Allow-Origin [Перевести]
    10. Access-Control-Expose-Headers [Перевести]
    11. Access-Control-Max-Age
    12. Access-Control-Request-Headers [Перевести]
    13. Access-Control-Request-Method [Перевести]
    14. Age [Перевести]
    15. Allow [Перевести]
    16. Alt-Svc [Перевести]
    17. Авторизация
    18. Cache-Control
    19. Clear-Site-Data [Перевести]
    20. Connection
    21. Content-Disposition
    22. Content-Encoding [Перевести]
    23. Content-Language
    24. Content-Length
    25. Content-Location [Перевести]
    26. Content-Range [Перевести]
    27. Content-Security-Policy [Перевести]
    28. Content-Security-Policy-Report-Only [Перевести]
    29. Content-Type
    30. Cookie [Перевести]
    31. Cookie2 [Перевести]
    32. Cross-Origin-Resource-Policy [Перевести]
    33. DNT
    34. Date
    35. ETag
    36. Early-Data [Перевести]
    37. Expect
    38. Expect-CT [Перевести]
    39. Expires
    40. Feature-Policy [Перевести]
    41. Forwarded [Перевести]
    42. From [Перевести]
    43. Host
    44. If-Match
    45. If-Modified-Since
    46. If-None-Match [Перевести]
    47. If-Range [Перевести]
    48. If-Unmodified-Since
    49. Index [Перевести]
    50. Keep-Alive [Перевести]
    51. Large-Allocation [Перевести]
    52. Last-Modified
    53. Location [Перевести]
    54. Origin
    55. Pragma [Перевести]
    56. Proxy-Authenticate [Перевести]
    57. Proxy-Authorization [Перевести]
    58. Public-Key-Pins [Перевести]
    59. Public-Key-Pins-Report-Only [Перевести]
    60. Range [Перевести]
    61. Referer
    62. Referrer-Policy [Перевести]
    63. Retry-After
    64. Sec-WebSocket-Accept [Перевести]
    65. Server [Перевести]
    66. Server-Timing [Перевести]
    67. Set-Cookie [Перевести]
    68. Set-Cookie2 [Перевести]
    69. SourceMap [Перевести]
    70. Strict-Transport-Security [Перевести]
    71. TE [Перевести]
    72. Timing-Allow-Origin [Перевести]
    73. Tk [Перевести]
    74. Trailer [Перевести]
    75. Transfer-Encoding [Перевести]
    76. Upgrade-Insecure-Requests [Перевести]
    77. User-Agent [Перевести]
    78. Vary [Перевести]
    79. Via [Перевести]
    80. WWW-Authenticate [Перевести]
    81. Warning [Перевести]
    82. X-Content-Type-Options
    83. X-DNS-Prefetch-Control [Перевести]
    84. X-Forwarded-For
    85. X-Forwarded-Host [Перевести]
    86. X-Forwarded-Proto [Перевести]
    87. X-Frame-Options [Перевести]
    88. X-XSS-Protection
  19. HTTP request methods
    1. CONNECT
    2. DELETE
    3. GET
    4. HEAD
    5. OPTIONS
    6. PATCH [Перевести]
    7. POST
    8. PUT
    9. TRACE
  20. HTTP response status codes
    1. 100 Continue
    2. 101 Switching Protocol
    3. 200 OK
    4. 201 Created
    5. 202 Accepted
    6. 203 Non-Authoritative Information
    7. 204 No Content
    8. 205 Reset Content
    9. 206 Partial Content
    10. 300 Multiple Choices
    11. 301 Moved Permanently
    12. 302 Found
    13. 303 See Other
    14. 304 Not Modified
    15. 307 Temporary Redirect
    16. 308 Permanent Redirect
    17. 400 Bad Request
    18. 401 Unauthorized
    19. 403 Forbidden
    20. 404 Not Found
    21. 405 Method Not Allowed
    22. 406 Not Acceptable
    23. 407 Proxy Authentication Required
    24. 408 Request Timeout
    25. 409 Conflict
    26. 410 Gone
    27. 411 Length Required
    28. 412 Precondition Failed
    29. 413 Payload Too Large
    30. 414 URI Too Long
    31. 415 Unsupported Media Type
    32. 416 Range Not Satisfiable
    33. 417 Expectation Failed
    34. 418 I'm a teapot
    35. 422 Unprocessable Entity
    36. 425 Too Early
    37. 426 Upgrade Required
    38. 428 Precondition Required
    39. 429 Too Many Requests
    40. 431 Request Header Fields Too Large
    41. 451 Unavailable For Legal Reasons
    42. 500 Internal Server Error
    43. 501 Not Implemented
    44. 502 Bad Gateway
    45. 503 Service Unavailable
    46. 504 Gateway Timeout
    47. 505 HTTP Version Not Supported
    48. 511 Network Authentication Required
  21. CSP directives
    1. CSP: base-uri [Перевести]
    2. CSP: block-all-mixed-content [Перевести]
    3. CSP: child-src [Перевести]
    4. CSP: connect-src [Перевести]
    5. CSP: default-src [Перевести]
    6. CSP: font-src [Перевести]
    7. CSP: form-action [Перевести]
    8. CSP: frame-ancestors [Перевести]
    9. CSP: frame-src [Перевести]
    10. CSP: img-src [Перевести]
    11. CSP: manifest-src [Перевести]
    12. CSP: media-src [Перевести]
    13. CSP: object-src [Перевести]
    14. CSP: plugin-types [Перевести]
    15. CSP: referrer [Перевести]
    16. CSP: report-uri [Перевести]
    17. CSP: require-sri-for [Перевести]
    18. CSP: sandbox [Перевести]
    19. CSP: script-src [Перевести]
    20. CSP: style-src [Перевести]
    21. CSP: upgrade-insecure-requests [Перевести]
    22. CSP: worker-src [Перевести]
    23. report-to [Перевести]
  22. CORS errors
    1. Ошибка: CORS disabled
    2. Reason: CORS header 'Access-Control-Allow-Origin' does not match 'xyz' [Перевести]
    3. Причина: CORS header 'Access-Control-Allow-Origin' отсутствует
    4. Reason: CORS header ‘Origin’ cannot be added [Перевести]
    5. Reason: CORS preflight channel did not succeed [Перевести]
    6. Причина: Не удалось выполнить запрос CORS
    7. Reason: CORS request external redirect not allowed [Перевести]
    8. Reason: CORS request not HTTP [Перевести]
    9. Reason: Credential is not supported if the CORS header ‘Access-Control-Allow-Origin’ is ‘*’ [Перевести]
    10. Reason: Did not find method in CORS header ‘Access-Control-Allow-Methods’ [Перевести]
    11. Reason: Multiple CORS header 'Access-Control-Allow-Origin' not allowed [Перевести]
    12. Reason: expected ‘true’ in CORS header ‘Access-Control-Allow-Credentials’ [Перевести]
    13. Reason: invalid token ‘xyz’ in CORS header ‘Access-Control-Allow-Headers’ [Перевести]
    14. Reason: invalid token ‘xyz’ in CORS header ‘Access-Control-Allow-Methods’ [Перевести]
    15. Reason: missing token ‘xyz’ in CORS header ‘Access-Control-Allow-Headers’ from CORS preflight channel [Перевести]
  23. Feature-Policy directives
    1. Feature-Policy: autoplay [Перевести]
    2. Feature-Policy: camera [Перевести]
    3. Feature-Policy: encrypted-media [Перевести]
    4. Feature-Policy: fullscreen [Перевести]
    5. Feature-Policy: geolocation [Перевести]
    6. Feature-Policy: microphone [Перевести]
    7. Feature-Policy: midi [Перевести]
    8. Feature-Policy: payment [Перевести]
    9. Feature-Policy: vr [Перевести]
    10. document-domain [Перевести]