在我进行用户注销后,我还应该注意什么?

时间:2012-04-25 10:10:40

标签: java security jsp web logout

在我的网站中,当用户点击注销时,我会这样做:

session.inavlidate();

在此之后,我将用户重定向到网站的索引页面。这个可以吗 ?我问这个是因为用户从网站注销后:

  1. 我仍然在浏览器中看到名为JSESSIONID的cookie,该cookie将在会话结束时到期。
  2. 当新用户按下后退键时,他能够看到前一个用户的数据。

1 个答案:

答案 0 :(得分:1)

  1. 将用户重定向到索引页面后注销后,将创建一个新会话。在注销之前检查logout之前的sessionId(JSESSIONID)是否与sessionId不同。它们应该是不同的,在这种情况下,没有什么可担心的。

  2. 当用户点击BACK时,页面将显示在浏览器的缓存中。但是由于会话已经过期,他们通常不应该做任何从无效会话中获取数据的事情。通过禁用页面缓存单击“后退”按钮,可以防止用户看到任何内容。这可以使用META标签完成 - <META HTTP-EQUIV="Pragma" CONTENT="no-cache"> <META HTTP-EQUIV="Expires" CONTENT="-1">

相关问题
最新问题