<div dir="ltr"><div><div>The example response in <a href="http://openid.net/specs/oauth-v2-form-post-response-mode-1_0-03.html#FormPostResponseExample">http://openid.net/specs/oauth-v2-form-post-response-mode-1_0-03.html#FormPostResponseExample</a> has a "Pragma: no-cache" response header.<br><br></div>However both <a href="http://tools.ietf.org/html/rfc2616#section-14.32">RFC 2616</a> and the shiny new <a href="https://tools.ietf.org/html/rfc7234#section-5.4">RFC 7234</a> make special note along the lines of the following to say that it doesn't work as response header:<br><br class=""><pre class="" style="font-size:1em;margin-top:0px;margin-bottom:0px;color:rgb(0,0,0);font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-align:start;text-indent:0px;text-transform:none;word-spacing:0px">     'Note: Because the meaning of "Pragma: no-cache" in responses is
      not specified, it does not provide a reliable replacement for
      "Cache-Control: no-cache" in them.'</pre><br>It doesn't really hurt anything having it in the Form Post Response Mode document but I'm thinking it'd be better to not further perpetuate the "Pragma: no-cache" response header myth in this specification* and that that line should probably be removed from the example.<br><br></div><div>Or am I wrong on this? And if so, what am I missing?<br></div><div><br><br></div>* And, yeah, it's in Connect Core and OAuth 2.0 as well but I figured starting with a draft that wasn't yet final was good. <br></div>