Cache-Control: public, private, no-cache, no-store

public – ответ можно кешировать кем угодно (в том числе прокси); private – кеш только у конечного пользователя (браузера), прокси не должны сохранять; no-cache – можно хранить, но перед каждым использованием нужно проверять актуальность (ревалидировать у сервера по ETag/Last-Modified); no-store – ответ не должен сохраняться ни в каком кеше (чувствительные данные). stale-while-revalidate – позволяет выдавать устаревший контент, пока фоновой запрос обновляет кеш.