Son kullanıcının oturumu kapattıktan / kapattıktan sonra kısıtlanmış sayfaya geri dönememesine ihtiyacım var. Ancak şu anda son kullanıcı bunu tarayıcı geri düğmesiyle, tarayıcı geçmişini ziyaret ederek ve hatta tarayıcının adres çubuğuna URL'yi yeniden girerek yapabilir.
Temel olarak, son kullanıcının oturumu kapattıktan sonra kısıtlanmış sayfaya hiçbir şekilde erişememesini istiyorum. Bunu en iyi şekilde nasıl başarabilirim? Geri düğmesini JavaScript ile devre dışı bırakabilir miyim?
Yanıtlar:
Sen ve olmamalıdır olabilir tarayıcı geri düğmesine veya geçmiş devre dışı bırakın. Bu, kullanıcı deneyimi için kötü. JavaScript hack'leri vardır, ancak bunlar güvenilir değildir ve istemci JS'yi devre dışı bıraktığında da çalışmazlar.
Somut sorununuz, istenen sayfanın doğrudan sunucudan değil tarayıcı önbelleğinden yüklenmesidir. Bu aslında zararsızdır, ancak son kullanıcı için gerçekten kafa karıştırıcıdır, çünkü yanlış bir şekilde sunucudan geldiğini düşünür.
Tarayıcıya tüm kısıtlanmış JSP sayfalarını önbelleğe almaması talimatını vermeniz yeterlidir (dolayısıyla sadece çıkış sayfasını / eylemini değil!). Bu şekilde tarayıcı, sayfayı önbellek yerine sunucudan istemeye zorlanır ve bu nedenle sunucudaki tüm oturum açma kontrolleri yürütülür. Bir kullanarak yapabilirsiniz Filtre setleri gerekli yanıt başlıklarını içinde yöntemle:doFilter()
@WebFilter
public class NoCacheFilter implements Filter {
@Override
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
HttpServletResponse response = (HttpServletResponse) res;
response.setHeader("Cache-Control", "no-cache, no-store, must-revalidate"); // HTTP 1.1.
response.setHeader("Pragma", "no-cache"); // HTTP 1.0.
response.setDateHeader("Expires", 0); // Proxies.
chain.doFilter(req, res);
}
// ...
}Örneğin, bunu Filterbir url-patternilgi alanına göre eşleştirin *.jsp.
@WebFilter("*.jsp")Veya bu kısıtlamayı yalnızca güvenli sayfalara koymak istiyorsanız, o zaman tüm bu güvenli sayfaları kapsayan bir URL modeli belirtmelisiniz. Örneğin, hepsi klasörün içindeyken /appURL modelini belirtmeniz gerekir /app/*.
@WebFilter("/app/*")Dahası, bu işi Filter, oturum açmış kullanıcının varlığını kontrol ettiğiniz yerle aynı şekilde yapabilirsiniz .
Test etmeden önce tarayıcı önbelleğini temizlemeyi unutmayın! ;)
doFilter()Yöntemi geçersiz kılmak için ayrı bir Filtre sınıfı oluşturdum . Oturum kapatma düğmesine bastığımda, oturumu geçersiz kıldığım bir sunucu uygulamasına yönlendiriliyor. doFilter()Yöntemin burada nasıl devreye girdiğinden emin değilim . Lütfen bunu nasıl uygulayacağımı söyler misin? Olduğu gibi, izlenecek doğru adımlar. Teşekkürler.
sendRedirect(...)ve forward().
Tarayıcı geri düğmesini devre dışı bırakmadan bunu yapmanın en basit yolu page_load, kullanıcının oturumu kapattıktan sonra geri dönmesini istemediğiniz sayfanın etkinliğine bu kodu eklemektir :
if (!IsPostBack)
{
if (Session["userId"] == null)
{
Response.Redirect("Login.aspx");
}
else
{
Response.ClearHeaders();
Response.ClearContent();
Response.Clear();
Session.Abandon();
Session.Remove("\\w+");
Response.AddHeader("Cache-Control", "no-cache, no-store, max-age = 0, must-revalidate");
Response.AddHeader("Pragma", "no-cache");
Response.AddHeader("Expires", "0");
}
}Tarayıcıya ana sayfayı önbelleğe almamasını söylemeyi deneyebilirsiniz (uygun başlıkları kullanarak - Expires, Cache-Control, Pragma). Ancak çalışması garanti edilmez. Yapabileceğiniz şey, sayfanın yüklenmesinde kullanıcının oturum açıp açmadığını kontrol etmek için sunucuya bir ajax çağrısı yapmak ve değilse yeniden yönlendirmektir.
Bunu yapmanın doğru yolu,
Vary: Cookiegüvenli sayfalarda başlık. Kullanıcı oturumu kapattığında, oturum tanımlama bilgisini temizleyin. Ardından, oturumu kapattıktan sonra geri döndüklerinde, tarayıcı önbelleği kaybolur. Bu aynı zamanda önbelleğe almayı tamamen engellememe avantajına da sahiptir.