如何正确地使JSP会话无效?
所以这就是问题所在。当用户退出我的网站时,他们仍然可以点击“后退”按钮并继续使用该网站。为了跟踪用户是否已登录,我创建了一个会话属性“
isActive”。当用户登录时,该属性设置为true,并且在注销会话无效之前(冗余)删除该属性。同样在每个页面上,我检查属性是否存在。
我还指定不应将页面缓存在其head标签中。
尽管如此,用户仍然可以在浏览器上进行回退,并且可以像从未登录过一样继续使用该网站。
关于如何解决此问题的任何想法?
这是代码:
...session.setAttribute("isActive", true);
//Redirect to home page.
<c:if test='${empty sessionScope.isActive || sessionScope.isActive != true}'> <c:redirect url="/index.jsp?message=Session Timed Out."/>
</c:if>
request.getSession().removeAttribute("isActive");request.getSession().invalidate();
response.sendRedirect("index.jsp");
<meta http-equiv="Pragma" content="no-cache"><meta http-equiv="Cache-Control" content="no-cache">
<meta http-equiv="Expires" content="Sat, 01 Dec 2001 00:00:00 GMT">
谢谢
回答:
元标记还不够。您需要将它们添加为有价值的响应标头。Web浏览器依赖于它们。A Filter
在这方面很有帮助。此外,Cache-
Control标头不完整(在Firefox中无法正常使用)。
例如,通过映射到的doFilter()
方法来实现此目的(如果您想覆盖所有JSP页面)。Filter``url-pattern``*.jsp
HttpServletResponse res = (HttpServletResponse) response;res.setHeader("Cache-Control", "no-cache, no-store, must-revalidate"); // HTTP 1.1.
res.setHeader("Pragma", "no-cache"); // HTTP 1.0.
res.setDateHeader("Expires", 0); // Proxies.
chain.doFilter(request, response);
这样,Web浏览器将被迫在服务器上触发实际请求,而不是显示来自浏览器缓存的页面。另外,您应该使用a Filter
来检查已登录用户的存在,而不是JSP /
JSTL。
以上是 如何正确地使JSP会话无效? 的全部内容, 来源链接: utcz.com/qa/408867.html