首頁猿問防止用戶在注銷后查看先前訪問過的安全頁。

防止用戶在注銷后查看先前訪問過的安全頁。

JavaScript

德瑪西亞99 2019-05-31 16:53:40

防止用戶在注銷后查看先前訪問過的安全頁。我有這樣的要求，即最終用戶在注銷/退出后不應(yīng)該返回到受限的頁面。但目前，最終用戶可以通過瀏覽器返回按鈕、訪問瀏覽器歷史記錄，甚至通過在瀏覽器地址欄中重新輸入URL來實(shí)現(xiàn)這一點(diǎn)?；旧?，我希望最終用戶不應(yīng)該能夠以任何方式訪問受限制的頁面后，簽署。我怎樣才能做到最好呢？我可以用JavaScript禁用后退按鈕嗎？

查看完整描述

4 回答

慕田峪7331174

TA貢獻(xiàn)1828條經(jīng)驗(yàn) 獲得超13個贊

你，你們可以也不應(yīng)該禁用瀏覽器回退按鈕或歷史記錄。這不利于用戶體驗(yàn)。有JavaScript黑客，但它們不可靠，而且當(dāng)客戶端禁用JS時也不能工作。

具體的問題是，請求的頁面是從瀏覽器緩存加載的，而不是直接從服務(wù)器加載的。這在本質(zhì)上是無害的，但對最終用戶來說確實(shí)是令人困惑的，因?yàn)閟/他錯誤地認(rèn)為它真的來自服務(wù)器。

你只需要指示瀏覽器不高速緩存全受限制的JSP頁面(因此不僅僅是注銷頁面/操作本身！)。通過這種方式，瀏覽器被迫從服務(wù)器而不是從緩存中請求頁面，因此將執(zhí)行服務(wù)器上的所有登錄檢查。您可以使用濾光器設(shè)置必要響應(yīng)頭在doFilter()方法：

@WebFilterpublic class NoCacheFilter implements Filter {

    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletResponse response = (HttpServletResponse) res;

        response.setHeader("Cache-Control", "no-cache, no-store, must-revalidate"); // HTTP 1.1.
        response.setHeader("Pragma", "no-cache"); // HTTP 1.0.
        response.setDateHeader("Expires", 0); // Proxies.

        chain.doFilter(req, res);
    }

    // ...}

映射這個Filter在.上url-pattern例如，令人感興趣的*.jsp.