我尝试使用$cookieStore.remove('.ASPXAUTH')删除用户的身份验证Cookie,但如果我之后刷新页面,则Cookie仍然存在且页面仍然可用,而不是用户正在使用正如我所料,重定向到登录页面。
为什么用户在删除身份验证Cookie并刷新页面后仍然可以查看该页面?
答案 0 :(得分:2)
我担心使用javascript只能使用http-only cookie。如果它只是http,后端必须删除它。您可以使用ajax触发注销。
$http.get("/logout");
另一个选项是使用非http cookie,因此您可以使用javascript修改它。但这会使XSS漏洞抓住你的cookie并让你的会话被劫持的风险变得脆弱和不安全。
PS:如果您不想加载后面的页面,可以尝试使用HEAD请求方法(可能会像“忘掉它”一样工作)
$http.head("/logout");