一背景
公司安全整改,
要求:系統中對於關鍵業務操作應確保使用瀏覽器“后退”功能無法回到上一步操作界面。
提供:憑證提供所有被檢查系統關鍵業務操作后回退視頻,視頻顯示關鍵業務操作后,使用瀏覽器的“后退”,無法回到上一步操作界面(例如退出系統、審批等)。
我負責的zbj系統點擊退出系統后,在瀏覽器點擊“后退”仍會通過瀏覽器的緩存,訪問到系統內部。
二、實現方式
通常在Java web項目中用戶注銷是這樣實現的:
session().setAttribute("currentUser", null);
或者
session.removeAttribute("currentUser");
</pre></p><p>或者<pre name="code" class="java">session.invalidate();
然后重定向到登錄頁面。
但這樣做的話,在用戶注銷跳轉到登錄頁面后,如果用戶點了瀏覽器的“后退”按鈕,就可以返回到注銷前的頁面,盡管session已經清空。
這是因為瀏覽器的后退是使用了本地緩存的。
下面這個辦法可以禁止瀏覽器使用緩存,從而防止這種情況的出現。
新建包com.example.filter,在其中新建類
package com.asd.common.utils; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; import javax.servlet.http.HttpServletResponse; /** * create by MrZs on 2020/7/9 */ public class NoCacheFilter implements Filter{ @Override public void destroy() { // TODO Auto-generated method stub } @Override public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { HttpServletResponse hsr = (HttpServletResponse) res; hsr.setHeader("Cache-Control", "no-cache, no-store, must-revalidate"); // HTTP 1.1. hsr.setHeader("Pragma", "no-cache"); // HTTP 1.0. hsr.setDateHeader("Expires", 0); // Proxies. chain.doFilter(req, res); } @Override public void init(FilterConfig arg0) throws ServletException { // TODO Auto-generated method stub } }
doFilter方法中的setHeader就是告訴瀏覽器不要使用本地緩存。
然后在web.xml中配置
<filter>
<filter-name>noCacheFilter</filter-name>
<filter-class>com.asd.common.utils.NoCacheFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>noCacheFilter</filter-name>
<url-pattern>*.jsp</url-pattern>
</filter-mapping>
其中*.jsp表示對任意jsp頁面都使用noCachaFilter進行過濾,你當然可以根據自己的情況靈活運用,只在你不希望被緩存的頁面使用。
當然不能忘記在頁面中加上登錄驗證。
原文鏈接:https://blog.csdn.net/s_targaze_r/java/article/details/42432795