HTTP Clear-Site-Data Header

Der HTTP-Header Clear-Site-Data ist ein Response-Header, mit dem der Server den Browser anweisen kann, lokal gespeicherte Daten zu löschen. Primär verwendet für sichere Logout-Funktionen und Datenschutz-Compliance.

Typ

Response-Header

Syntax

Der Header listet die zu löschenden Datentypen als kommaseparierte Liste auf.

http 
Clear-Site-Data: "cache", "cookies", "storage"
Clear-Site-Data: "*"

Direktiven

Die Direktiven definieren welche Browser-Daten gelöscht werden sollen.

"cache"
Löscht HTTP-Cache für die Origin inkl. Service-Worker-Cache.
"cookies"
Löscht alle Cookies für die Origin und ihre Subdomains.
"storage"
Löscht DOM-Storage (localStorage, sessionStorage, IndexedDB).
"executionContexts"
Beendet alle Browsing-Contexts (Tabs, iframes) der Origin.
"*"
Wildcard, löscht alle oben genannten Datentypen.

Beispiele

Nachfolgend finden Sie praktische Anwendungsbeispiele für den Clear-Site-Data-Header.

Beispiel 1 Vollstaendiger Logout

http 
Clear-Site-Data: "cache", "cookies", "storage"

Bei Logout werden Session-Cookies, gecachte API-Responses und localStorage komplett gelöscht.

Beispiel 2 Cache-Invalidierung

http 
Clear-Site-Data: "cache"

Force-Update nach Deployment, Browser lädt frische Assets statt gecachte Versionen zu verwenden.

Beispiel 3 Komplette Datenlöschung

http 
Clear-Site-Data: "*"

Maximale Datenlöschung bei Account-Deletion oder Datenschutz-Request. Alle lokalen Daten werden entfernt.

Secure Logout Flow

Clear-Site-Data bei Logout für sichere Session-Beendigung

Vorteile für die Systemarchitektur

  • Sichere Session-Beendigung: Vollständige Entfernung aller Session-Daten verhindert Session-Hijacking
  • Datenschutz-Compliance: Unterstützt GDPR Right-to-Erasure durch Browser-seitige Datenlöschung
  • Cache-Management: Ermöglicht serverseitig initiierte Cache-Invalidierung bei Updates

Spezifikation

Clear Site Data – W3C Candidate Recommendation https://www.w3.org/TR/clear-site-data/

Weitere Spezifikationen

Cookie Header, Cache-Control Header