Verhindern, dass Benutzer sehen, die zuvor besuchte gesicherte Seite nach logout

Habe ich die Anforderung, dass der Endanwender nicht in der Lage sein zu gehen zurück auf die eingeschränkte Seite nach logout/Abmelden. Aber derzeit ist der Endbenutzer in der Lage, das zu tun, indem Sie die zurück-Schaltfläche Ihres Browsers, besuchen, browser history oder auch durch eine erneute Eingabe der URL im browser die Adresse bar.

Im Grunde, ich möchte, dass der Endanwender nicht in der Lage sein, um Zugriff auf die eingeschränkte Seite in keiner Weise nach Abmelden. Wie kann ich erreichen, das die besten? Kann ich das deaktivieren der zurück-button mit JavaScript?

Verwenden Sie den Post-Anfrage-get-Muster.Google es.

InformationsquelleAutor raaz | 2010-11-16

131

Du kann und sollte nicht deaktivieren der zurück-Schaltfläche Ihres Browsers oder Geschichte. Das ist schlecht für die user experience. Es gibt JavaScript-hacks, aber Sie sind nicht zuverlässig und wird auch nicht funktionieren, wenn der client JS deaktiviert hat.

Ihre konkrete problem ist, dass die angeforderte Seite wird geladen wurden, aus dem browser-cache, anstatt direkt aus dem server. Dies ist im wesentlichen harmlos, aber in der Tat verwirrend für den Anwender, da er fälschlicherweise glaubt, dass es wirklich vom server kommt.

Müssen Sie nur den browser anweisen, nicht cache alle die eingeschränkte JSP-Seiten (und damit ist nicht nur die logout-Seite/Aktion an sich!). Auf diese Weise wird der browser gezwungen, die Anforderung der Seite vom server anstatt aus dem cache und damit alle login-checks auf dem server ausgeführt werden. Sie können dies tun, mit einem Filter setzt erforderlich Antwort-Header in der doFilter() Methode:
```
@WebFilter
public class NoCacheFilter implements Filter {

    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletResponse response = (HttpServletResponse) res;

        response.setHeader("Cache-Control", "no-cache, no-store, must-revalidate"); //HTTP 1.1.
        response.setHeader("Pragma", "no-cache"); //HTTP 1.0.
        response.setDateHeader("Expires", 0); //Proxies.

        chain.doFilter(req, res);
    }

    //...
}
```
Map diese Filter auf eine url-pattern von Interesse, zum Beispiel *.jsp.
```
@WebFilter("*.jsp")
```
Oder, wenn Sie wollen diese Einschränkung auf gesicherten Seiten nur, dann sollten Sie ein URL-Muster, die enthält alle gesicherten Seiten. Zum Beispiel, wenn Sie alle in den Ordner /app, dann müssen Sie das URL-Muster der /app/*.
```
@WebFilter("/app/*")
```
Sogar mehr, die Sie tun können, diesen job in der gleichen Filter da, wo Sie überprüft die Anwesenheit der angemeldeten Benutzer.

Vergessen Sie nicht, cache löschen vor dem testen! 😉

Siehe auch:
- Authentifizierung filter-und servlet für die Anmeldung
- Wie kontrollieren Sie die web-Seite Zwischenspeichern, in allen Browsern?
Manchmal ist dies nicht genug, ich erinnere mich, mit solch einem Thema. Der browser merkt sich die Letzte Seite. Aber vielleicht war es der IE6, ich kann mich nicht erinnern 🙂
Entweder Sie haben einen unvollständigen Satz von Headern oder der browser hat die Seite noch im cache.
arbeiten wie ein Charme 😉
Funktionierte bei mir nicht mit Firefox...
funktioniert bei mir mit Firefox und allen anderen Browsern. Ihr problem wird dadurch verursacht, an anderer Stelle. Vielleicht haben Sie vergessen, klar einige cache? Oder werden diese Header sind auf der falschen Antworten?

InformationsquelleAutor BalusC
5

*.jsp in der Url-Muster wird nicht funktionieren, wenn man vorne eine Seite. Versuchen Sie, Ihr servlet zu.. das wird Ihre Bewerbung sicher von dieser zurück-button problem.

InformationsquelleAutor Sathyan

Der einfachste Weg, es zu tun, ohne das deaktivieren der browser "zurück" - buton ist, indem Sie diesen code an den page_load Ereignis für die Seite, die Sie nicht möchten, dass der Benutzer zurück zu gehen, um nach der Abmeldung:

if (!IsPostBack)
    {
        if (Session["userId"] == null)
        {
            Response.Redirect("Login.aspx");
        }
        else
        {
            Response.ClearHeaders();
            Response.AddHeader("Cache-Control", "no-cache, no-store, max-age=0, must-revalidate");
            Response.AddHeader("Pragma", "no-cache");
        }
    }

Wenn deine Antwort hilfreich ist, poste bitte die Antwort, die bezieht sich auf die OP die Programmiersprache der Wahl. Der C# - Lösung wird nicht helfen, in den OP ' s Java-EE-Projekt.

InformationsquelleAutor Ashraf Abusada

0

Können Sie versuchen, erzählen Sie der browser nicht Cachen der homepage (mit dem entsprechenden Header - Expires, Cache-Control, Pragma). Aber es ist nicht garantiert, um zu arbeiten. Was Sie tun können, ist, dass ein ajax-Aufruf an den server beim laden der Seite überprüfen, ob der Benutzer angemeldet ist, und wenn nicht - redirect.

Aber wenn ein böser Geist JavaScript deaktiviert funktioniert dies nicht und er wird sehen die Seite trotzdem.

InformationsquelleAutor Bozho
0

Den richtigen Weg, dies zu tun, fügen Sie die
```
Vary: Cookie
```
header auf gesicherte Seiten. Wenn sich der Benutzer abmeldet, löschen, session-cookie. Dann, wenn Sie zurück navigieren, nachdem Sie sich Abmelden, den browser-cache miss. Dies hat auch den Vorteil, dass es nicht völlig besiegen-caching.

InformationsquelleAutor Dan

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.

Siehe auch: