我想了解我们如何在网站中实现安全的注销方法。我正在jsp中尝试注销页面。用户单击注销时销毁会话是否足够?如果不是注销所需的步骤,对用户来说是安全的操作?
问问题
639 次
5 回答
4
一般来说,我会说是的,但这取决于您可能在客户端存储的其他信息。例如,如果您有任何包含敏感信息的 cookie(希望您没有),那么您也应该清除它们。
于 2012-04-09T18:26:23.593 回答
3
如果您存储了任何与用户相关的 cookie,您也需要清理它们。换句话说,您的服务器用来识别用户的任何信息都应该被清除。如果只是会话-那么在您的情况下就足够了。
于 2012-04-09T18:26:51.470 回答
0
定义“安全”。
您可能还想关闭缓存,这样点击“返回”按钮就不会显示潜在的敏感信息。除此之外,不知道你还关心什么。
于 2012-04-09T18:25:09.067 回答
0
取决于您的应用程序要求,您在注销期间需要什么功能。除了有时刷新或释放用户会话之外,会话中设置的变量很少,它们也应该被正确释放。
于 2012-04-09T18:29:22.830 回答
0
是的,一旦你使会话无效,那么会话 id 就不再有效,可能会话 cookie 也会被破坏,所以会话就消失了(连同存储在会话中的所有数据)。
为了注销用户(从 servlet 或 JSP 页面):
<%
HttpSession s = request.getSession();
s.invalidate();
%>
那是容易的部分。现在,如果您将一些重要的、用户特定的数据存储在自定义 cookie 中,请确保清理它们。这同样适用于 HTML 5 本地存储 - 它必须手动清理。
于 2012-04-09T18:29:42.047 回答