在Java web项目中防止用户注销后使用浏览器中的“后退”按钮返回注销前页面

时间:2021-07-30 06:04:26

一背景

公司安全整改,

要求:系统中对于关键业务操作应确保使用浏览器“后退”功能无法回到上一步操作界面。

提供:凭证提供所有被检查系统关键业务操作后回退视频,视频显示关键业务操作后,使用浏览器的“后退”,无法回到上一步操作界面(例如退出系统、审批等)。

我负责的zbj系统点击退出系统后,在浏览器点击“后退”仍会通过浏览器的缓存,访问到系统内部。

二、实现方式

通常在Java web项目中用户注销是这样实现的:

session().setAttribute("currentUser", null);
或者 session.removeAttribute("currentUser");
</pre></p><p>或者<pre name="code" class="java">session.invalidate();

然后重定向到登录页面。

但这样做的话,在用户注销跳转到登录页面后,如果用户点了浏览器的“后退”按钮,就可以返回到注销前的页面,尽管session已经清空。

这是因为浏览器的后退是使用了本地缓存的。

下面这个办法可以禁止浏览器使用缓存,从而防止这种情况的出现。

新建包com.example.filter,在其中新建类

package com.asd.common.utils;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletResponse; /**
* create by MrZs on 2020/7/9
*/
public class NoCacheFilter implements Filter{ @Override
public void destroy() {
// TODO Auto-generated method stub } @Override
public void doFilter(ServletRequest req, ServletResponse res,
FilterChain chain) throws IOException, ServletException { HttpServletResponse hsr = (HttpServletResponse) res;
hsr.setHeader("Cache-Control", "no-cache, no-store, must-revalidate"); // HTTP 1.1.
hsr.setHeader("Pragma", "no-cache"); // HTTP 1.0.
hsr.setDateHeader("Expires", 0); // Proxies.
chain.doFilter(req, res); } @Override
public void init(FilterConfig arg0) throws ServletException {
// TODO Auto-generated method stub } }

doFilter方法中的setHeader就是告诉浏览器不要使用本地缓存。
然后在web.xml中配置

  <filter>
<filter-name>noCacheFilter</filter-name>
<filter-class>com.asd.common.utils.NoCacheFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>noCacheFilter</filter-name>
<url-pattern>*.jsp</url-pattern>
</filter-mapping>

其中*.jsp表示对任意jsp页面都使用noCachaFilter进行过滤,你当然可以根据自己的情况灵活运用,只在你不希望被缓存的页面使用。
当然不能忘记在页面中加上登录验证。

原文链接:https://blog.csdn.net/s_targaze_r/java/article/details/42432795