通常情况下,浏览器会对页面进行缓存,此时可以通过后退访问刚才的页面,如:Web应用登出后后退能够访问刚才被缓存的页面,这样在有些情况下是不够安全的,解决防止后退的办法如下:

response.setHeader("Cache-Control","no-cache"); //不对页面进行缓存,再次访问时将从服务器重新获取最新版本

response.setHeader("Cache-Control","no-store"); //任何情况下都不缓存页面

response.setDateHeader("Expires", 0); //使缓存过期

response.setHeader("Pragma","no-cache"); //HTTP 1.0 向后兼容

首先要将上面四行代码加在JSP中,或者Struts的action中,我个人是加在了action里。为一个基于Struts的Web应用添加一个处理退出问题的框架可以优雅地不费气力的实现。这部分归功于Struts是采用MVC设计模式的因此将模型和视图清晰的分开。另外,Java是一个面向对象的语言,其支持继承,可以比JSP中的脚本更为容易地实现代码重用。

通过使用类继承机制,其他类可以继承基本类BaseAction中的通用逻辑来设置HTTP头信息以及检索HttpSession对象中的username字符串。这个基本类是一个抽象类并定义了一个抽象方法executeAction()。所有继承自基类的子类都应实现exectuteAction()方法而不是覆盖它。下面基类的部分代码:

public abstract class BaseAction {

       ...

       {

              response.setHeader("Cache-Control","no-cache");

              response.setHeader("Cache-Control","no-store");

              response.setDateHeader("Expires", 0);

              response.setHeader("Pragma","no-cache");

       }

       ...

}

登出系统时注意清除保存用户证书的地方,我是存在了session里。我登出是做了如下操作:

public String logout() {

    ActionContext context = ActionContext.getContext();

    Map session = context.getSession();

    session.remove("User");//User中有用户名和密码等信息

//ActionContext.getContext().getSession().clear();//清空session

//ServletActionContext.getRequest().getSession().invalidate();//使HttpSession失效

    return "logout";

}

另外要配置一个拦截器,来保证已登出的用户不能后退进系统:

public class LoginSessionFilter implements javax.servlet.Filter {  

    @Override

    public void destroy() {

        // TODO Auto-generated method stub

    }

    @Override

    public void doFilter(ServletRequest request, ServletResponse response,

            FilterChain chain) throws IOException, ServletException {

        HttpServletRequest req=(HttpServletRequest)request;

        HttpServletResponse res=(HttpServletResponse)response;

        String contextPath = req.getSession().getServletContext().getContextPath();

        String servletPath = req.getServletPath();

        User user = (User) req.getSession().getAttribute("User ");

        // 如果是登录首页不用拦截

        if (servletPath.contains("login.action")) {                            chain.doFilter(request, response);

        } else {

            // 如果user == null说明该用户已经登出了,我强制它返回登录页面

            // 否则不拦截

            if (user == null) {

                res.sendRedirect(contextPath + " login.action");

            } else {

                chain.doFilter(request, response);

            }

        }

    }

    @Override

    public void init(FilterConfig arg0) throws ServletException {

        // TODO Auto-generated method stub

    }

}

当做到上面编码之后,已经可以解决99%的问题了,不过当浏览器点后退对应的是登录后的action时,由于这个action做了用户名密码的认证,后退键将用户名密码又提交了回来,因此还会登录进系统,拦截后退便失败。于是,我们可以做一个时间来验证一下这个请求是否是正常的登录请求:

public class LoginAction extends BaseAction {

    private String userName; // 用户名

    private String password; // 密码

    private long logonTime;// 登陆时间

    private static long lastLogonTime ; // 上次登录时间

    public String logon() {

        // 如果本次登录的时间大于最后一次登录的时间,说明是正常登录

        // 否则说明该请求是浏览器缓存的历史,我们要跳回登录页面

        if (logonTime > lastLogonTime) {

            lastLogonTime = logonTime;

        } else {

            return "登录页面";

        }

        ...

        ...

        return "";

    }

}

  结论

  本文阐述了解决退出问题的方案,尽管方案简单的令人惊讶,但却在所有情况下都能有效地工作。无论是对JSP还是Struts,所要做的不过是写一段不超过50行的代码以及一个记录用户最后登陆时间的方法。在Web应用中混合使用这些方案能够使拥护的私人数据不致泄露,同时,也能增加用户的经验

Web应用登出后防止浏览器后退的更多相关文章

  1. web测试误区:浏览器后退键退出系统会话失效

    通过最近测试的项目,认识到实际:浏览器后退键退出系统,会话仍旧有效.打破了之前认为浏览器后退键就会退出系统登录的认知. 一,了解Cookie和Session的作用,具体来说cookie机制采用的是在客 ...

  2. 华为eNSP的防火墙(USG6000V)如何使用Web界面登入

    文章目录 华为eNSP的防火墙(USG6000V)如何使用Web界面登入 前言 一.使用步骤 1.导入USG6000V的镜像包 总结 前言 在华为的eNSP的模拟器上如何使用Web界面去管理与使用模拟 ...

  3. js禁止Backspace键使浏览器后退

    在项目中遇到按下Backspace键让浏览器后退的问题,上网搜了几种解决方案都不太理想.于是集众人之智,采众家之长,归纳如下: 这里主要参考博客http://q821424508.iteye.com/ ...

  4. 关于HTML5音频——audio标签和Web Audio API各平台浏览器的支持情况

    对比audio标签 和 Web Audio API 各平台浏览器的支持情况:   audio element Web Audio API desktop browsers Chrome 14 Yes  ...

  5. modern.IE – Web 开发必备的 IE 浏览器测试工具

    modern.IE 是微软推出的一个开发人员中心,提供免费的工具和资源,旨在使您能够花更少的时间来测试各种版本的 Internet Explorer,并留出更多时间在现代 Web 上构建重要的内容.m ...

  6. 浏览器后退按钮导致jquery动态添加的select option值丢失的解决方法

    监控浏览器返回功能 判断浏览器返回功能 禁用浏览器的后退按钮 JS禁止浏览器后退键 http://volunteer521.iteye.com/blog/830522/ 浏览器返回功能 判断上一页面来 ...

  7. 利用js实现禁用浏览器后退

    原博主链接为:http://blog.csdn.net/zc474235918/article/details/53138553 现在很多的内部系统,一些界面,都是用户手动点击退出按钮的.但是为了避免 ...

  8. 利用js实现 禁用浏览器后退

    现在很多的内部系统,一些界面,都是用户手动点击退出按钮的.但是为了避免,用户误操作 点击浏览器后退,或者用鼠标手势后退什么的.容易出现误操作.        所以在有些页面上,适当的禁用浏览器的后退, ...

  9. 利用js实现 禁用浏览器后退 浏览器返回

    现在很多的内部系统,一些界面,都是用户手动点击退出按钮的.但是为了避免,用户误操作 点击浏览器后退,或者用鼠标手势后退什么的.容易出现误操作.        所以在有些页面上,适当的禁用浏览器的后退, ...

随机推荐

  1. star

    Astronomers often examine star maps where stars are represented by points on a plane and each star h ...

  2. IOS webView快照

    这个功能就是对网页的存储,存储成png格式的图片 且不失真 很棒的一个小方法.具体实现如下: - (void)webViewDidFinishLoad:(UIWebView *)webView1 { ...

  3. Ubuntu快速显示桌面的方法

    在Ubuntu环境下,按下Ctrl+D就能最小化所有窗口,立刻显示桌面,类似xp下的显示桌面按钮功能.不过这是需要经过快捷键设置的.以下是设置方法: 1.找到"系统设置" 2.进入 ...

  4. web前端开发(4)

    低权重原则,避免滥用子选择器 CSS选择符是有权重的,当不同选择符的样式设置有冲突时会采用权重高的选择符设置的样式. html标签权重是1,class权重是10,id权重是100 如果css选择符权重 ...

  5. IceFig阅读笔记

    嗯:就是这里了 http://research.worksap.com/research/icefig/ 一下阅读笔记: 嗯,时间有限,他们提供的又茫茫多,所以 就找出来了 几个 单独聊聊吧. 其他语 ...

  6. Kali linux 2016无法打开virtualbox问题解决

    Kali Linux在安装完virtualbox后,打开虚拟机会出现:kernel driver not installed (rc=1908)错误提示,根据提示,大概可以看出是由于缺少内核模块引起的 ...

  7. 进程控制块的task_struct结构

    >进程控制块 在linux中进程信息存放在叫做进程控制块的数据结构中,每个进程在内核中都有⼀个进程控制块(PCB)来维护进程相关的信息,Linux内核的 进程控制块是task_struct结构体 ...

  8. Meta也很强

    <!--http-equiv 必要属性--> <meta http-equiv="Content-Type" content="text/html; c ...

  9. Table of Contents - Quartz Scheduler

    Getting Started Hello World Integration with Spring Quartz Scheduler Developer Guide Usage of JobDat ...

  10. asp.net渐变

    简介:第一个参数代表渐变的方向,后面的StartColorStr和End就不用解释了: filter: progid:DXImageTransform.Microsoft.Gradient(Gradi ...