Основной вывод, который имеет смысл проговорить до погружения в детали, достаточно жёсткий: любой ответ, который потенциально содержит конфиденциальные данные, не должен попадать в общий кэш – ни на уровне прокси, ни на уровне CDN. Исключения возможны только там, где есть специально спроектированная и тщательно протестированная модель доступа. Всё остальное – детали реализации: централизованная политика HTTP‑заголовков, аккуратная конфигурация прокси и CDN, регулярное тестирование на атаки Web Cache Deception и Web Cache Poisoning...