浏览器为CACHE提供过时的授权标头

我正在遇到我的客户端在向服务器发出无辜请求后登录。我控制了两端，经过大量调试后，我发现以下情况发生了：

• 客户以正确的授权标头发送请求。
• 服务器使用304 Not Modified响应没有任何授权标头。
• 浏览器提供完整的响应，包括在其缓存中发现的过时授权标题。
• 从现在开始，客户使用过时的授权并被踢出。

据我所知，浏览器不得缓存任何包含授权的请求。尽管如此，

chrome://view-http-cache/http://localhost:10080/api/SearchHost

显示

HTTP/1.1 200 OK
Date: Thu, 23 Nov 2017 23:50:16 GMT
Vary: origin, accept-encoding, authorization, x-role
Cache-Control: must-revalidate
Server: 171123_073418-d8d7cb0 =
x-delay-seconds: 3
Authorization: Wl6pPirDLQqWqYv
Expires: Thu, 01 Jan 1970 00:00:00 GMT
ETag: "zUxy1pv3CQ3IYTFlBg3Z3vYovg3zSw2L"
Content-Encoding: gzip
Content-Type: application/json;charset=utf-8
Content-Length: 255

有趣的服务器标头替换了一些内部信息替换Jetty Server标头（不应出于安全原因） - 忽略它。这就是卷曲所说的：

< HTTP/1.1 304 Not Modified
< Date: Thu, 23 Nov 2017 23:58:18 GMT
< Vary: origin, accept-encoding, authorization, x-role
< Cache-Control: must-revalidate
< Server: 171123_073418-d8d7cb0 =
< ETag: "zUxy1pv3CQ3IYTFlBg3Z3vYovg3zSw2L"
< x-delay-seconds: 3
< Content-Encoding: gzip

这也发生在Firefox中，尽管我目前无法再现。 RFC继续进行，看来上面链接的答案并不精确：

，除非允许存储此类响应的缓存指令在响应

中存在

看起来响应是可以缓存的。很好，我确实希望 content 被缓存，但是我不希望从缓存提供授权标题。这可能吗？

我的问题的解释

我的服务器仅在响应登录请求时才用于发送Authorization标头。

我们的网站允许用户保持任意登录时间（我们没有敏感业务）。我们正在更改授权令牌的格式，因此我们不想强迫所有用户再次登录。因此，每当看到过时但有效的服务器时，我都使服务器发送更新的授权令牌。因此，现在任何响应都可能包含授权令牌，但其中大多数都不包含。

将仍然有效的响应与过时的授权令牌结合在一起的浏览器缓存出现。

作为解决方法，我在存在授权令牌时使服务器不发送etag。它有效，但我更喜欢一些更清洁的解决方案。