<p>Currently the API sends a <code>Cache-Control: max-age=0, private, must-revalidate</code> header in node responses. <a href="http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.html#sec14.9.1">RFC2616</a> gives the meaning of private as</p>

<blockquote>
<p>Indicates that all or part of the response message is intended for a single user and MUST NOT be cached by a shared cache. This allows an origin server to state that the specified parts of the response are intended for only one user and are not a valid response for requests by other users. A private (non-shared) cache MAY cache the response.</p>
</blockquote>

<p>whereas public is</p>

<blockquote>
<p>Indicates that the response MAY be cached by any cache, even if it would normally be non-cacheable or cacheable only within a non- shared cache. (See also Authorization, section 14.8, for additional details.)</p>
</blockquote>

<p>Given the nature of the GET API calls, public seems like a better fit.</p>

<p style="font-size:small;-webkit-text-size-adjust:none;color:#666;">—<br>Reply to this email directly or <a href='https://github.com/openstreetmap/openstreetmap-website/issues/337'>view it on GitHub</a>.<img src='https://github.com/notifications/beacon/uTRSc6ihLa7Shf84BpiOpgEBlXl9tbVMahoFAF0chg70qXr9OCJ5rQfcFIg_NfWM.gif' height='1' width='1'></p>