我们正在使用Struts 1.2开发一个Web应用程序。在该应用程序中,当用户按下注销时,它将注销用户,但是当他按下后退按钮时,它将把他带到里面而不需要用户名和密码。同样,当我们在登录后提供页面的网址时,它会将其带入内部而不进行验证。
我不知道如何解决这种安全问题。请指导我。
答案 0 :(得分:0)
您是如何实施退出操作的?如果您正在实现自己的(例如,不使用Spring Security等),则应在用户注销时调用session.invalidate();。当然,当您的用户点击后退按钮时,由于浏览器缓存(取决于如何实施注销操作),他们可能仍会看到该页面,但是当他们在此之后尝试访问安全页面时,他们将无法访问它。