java - servlet session ,注销后,按下浏览器的后退按钮时,再次显示安全页面

标签 java servlets servlet-filters servlet-3.0 servlet-listeners

<分区>

我有一个 servlet 和一个 HTML 页面。如何防止用户在注销后点击浏览器的后退按钮?我在 stackoverflow 中读过同样的问题,但答案是使用浏览器历史记录禁用 java 脚本或使用页面——在 http header 中没有缓存。我们如何使用阻止返回操作的 servlet 来实现它,没有缓存的 http-header 是无用的,因为 Firefox 表示页面在再次刷新两次时已过期显示安全页面。

我已经在某种程度上做了,示例方法只是为了尝试(不是真的) 我的用户名和密码从 HTML 页面发布到 servlet,如果密码和用户名正确,servlet 将其存储在 session 中。 当再次请求安全页面时,如果 session 存在,则显示安全页面,并且用户从 session 中注销,显示登录页面,所有工作正常,但如果用户点击浏览器的后退按钮,则注销失败。

我们如何防止安全 servlet 在注销后显示内容,然后在浏览器中按下后退按钮?

welcome.html 的源代码

<html>
<body>

<form method="POST" action="Sessionexample">
<div align="center">
<table border="1"   style="border-collapse: collapse">
    <tr>
        <td>Username</td>
        <td><input type="text" name="username" size="20"></td>
    </tr>
    <tr>
        <td>Password</td>
        <td><input type="text" name="password" size="20"></td>
    </tr>
    <tr>
        <td height="24">&nbsp;</td>
        <td height="24">&nbsp;</td>
    </tr>
    <tr>
        <td>&nbsp;</td>
        <td><input type="submit" value="Submit" name="B1"></td>
    </tr>
</table>
</div>
</form>
</body>
</html>

servlet 的源代码

public class Sessionexample extends HttpServlet implements Servlet , Filter {
    private static final long serialVersionUID = 1L;
    public String username =null, password=null;
    public HttpSession session ;
    public PrintWriter pw;
    int do_get =0 ;
    /**
     * Default constructor. 
     */


    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) res;

        HttpSession session = request.getSession(false);         
        if (session == null || session.getAttribute("username") == null) {
            response.sendRedirect("welcome.html"); // No logged-in user found, so redirect to login page.
            response.setHeader("Cache-Control", "no-cache, no-store, must-revalidate"); // HTTP 1.1.
            response.setHeader("Pragma", "no-cache"); // HTTP 1.0.
            response.setDateHeader("Expires", 0);
        } else {
            chain.doFilter(req, res);  
        }
    }


    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException 
    {

        do_get=1;
        pw = response.getWriter();
        session=request.getSession(false);
        try
        {
            if(request.getParameter("action")!=null)
            {
                if(request.getParameter("action").equals("logout"))
                {

                    session = request.getSession(true);
                    session.setAttribute("username", "");
                    session.setAttribute("password", "");
                    session.invalidate();
                     response.sendRedirect("welcome.html");
                    return; 
                }
            }
            else
            if(session !=null)
                {
                 if( (String)session.getAttribute(username)!=null)
                username = (String)session.getAttribute("username").toString();
                if( (String)session.getAttribute("password") !=null)
                 password =session.getAttribute("password").toString();
                pw.write("not new-");
                serviced(request,response);
                }

        }
        catch(Exception ex)
        {
            pw.write("Error-"+ex.getMessage());
        } 

    }

    /**
     * @see HttpServlet#doPost(HttpServletRequest request, HttpServletResponse response)
     */
    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException 
    {

        if(request.getParameter("username")!=null && request.getParameter("password")!=null )
        {
             username = request.getParameter("username").toString();
             password =  request.getParameter("password").toString(); 
        } 

        serviced(request,response);

    }


    protected void serviced(HttpServletRequest request, HttpServletResponse response) throws IOException
    {

            response.setContentType("text/html");

            pw = response.getWriter();  
        if( username !=null && password !=null)
            if( username.equals("admin") && password.equals("a"))
            {

                try
                {

                    if(do_get==0)
                    {
                session = request.getSession(true);
                session.setAttribute("username", "admin");
                session.setAttribute("password", "a");
                    }               
                pw.write("You are logged in : "+username+"  <br/> "+"<a href='?action=logout'><h1>   Logout </h1> </a>");

                }
                catch(Exception ex)
                {
                                        response.sendRedirect("welcome.html");

                }

            }
            else
            {
            response.sendRedirect("welcome.html");
            }
            else
                response.sendRedirect("welcome.html");
    }

    @Override
    public boolean accept(Object arg0) throws IOException {
        // TODO Auto-generated method stub
        return false;
    }       

}

最佳答案

您的过滤器仅在 welcome.html 上设置无缓存 header ,而不是在受限页面上。因此,每当浏览器通过后退按钮请求任何这些受限页面时,它都可能会显示缓存版本。您的过滤器需要在所有受限页面上设置无缓存 header 。

所以,你需要改变

    if (session == null || session.getAttribute("username") == null) {
        response.sendRedirect("welcome.html"); // No logged-in user found, so redirect to login page.
        response.setHeader("Cache-Control", "no-cache, no-store, must-revalidate"); // HTTP 1.1.
        response.setHeader("Pragma", "no-cache"); // HTTP 1.0.
        response.setDateHeader("Expires", 0);
    } else {
        chain.doFilter(req, res);  
    }


    if (session == null || session.getAttribute("username") == null) {
        response.sendRedirect("welcome.html"); // No logged-in user found, so redirect to login page.
    } else {
        response.setHeader("Cache-Control", "no-cache, no-store, must-revalidate"); // HTTP 1.1.
        response.setHeader("Pragma", "no-cache"); // HTTP 1.0.
        response.setDateHeader("Expires", 0);
        chain.doFilter(req, res);  
    }

关于java - servlet session ,注销后,按下浏览器的后退按钮时,再次显示安全页面,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14219749/

上一篇:java - 检查有效 session : isRequestedSessionIdValid() vs getSession(false)

下一篇:java - FXML 设置 TableView 列大小调整策略

相关文章:

java - Spring 调度程序 url 模式不起作用

java - chain.doFilter 在 Filter.doFilter 方法中做了什么?

java - JAX-WS servlet 过滤器异常

java - web.xml 中项目的 servlet-mapping 属性不位于 webapps 的顶层

java - 将请求从 servlet 转发到 jsp

java - 如何更改java过滤器中的servlet请求主体?

java - 从 DateTime 控件获取日期

保存 jpg 图像时 Java 1.5.0_16 颜色损坏

java - 如何使用 Java 编写 xml 格式代码

java - 正确使用线程难倒了我

©2024 IT工具网  联系我们