我正在显示非常敏感的数据。用户从我的服务器注销后,我不希望其他用户能够看到点击浏览器的“后退”按钮的数据。
我怎样才能做到这一点?
问问题
40940 次
2 回答
82
默认情况下,浏览器的后退按钮根本不会向服务器发送 HTTP 请求。相反,它从浏览器缓存中检索页面。这本质上是无害的,但确实让最终用户感到困惑,因为他/她错误地认为它确实来自服务器。
您需要做的就是指示浏览器不要缓存受限页面。您可以使用一个简单的 servlet 过滤器来设置适当的响应标头:
@WebFilter
public class NoCacheFilter implements Filter {
@Override
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
HttpServletRequest request = (HttpServletRequest) req;
HttpServletResponse response = (HttpServletResponse) res;
if (!request.getRequestURI().startsWith(request.getContextPath() + ResourceHandler.RESOURCE_IDENTIFIER)) { // Skip JSF resources (CSS/JS/Images/etc)
response.setHeader("Cache-Control", "no-cache, no-store, must-revalidate"); // HTTP 1.1.
response.setHeader("Pragma", "no-cache"); // HTTP 1.0.
response.setDateHeader("Expires", 0); // Proxies.
}
chain.doFilter(req, res);
}
// ...
}
(请注意,此过滤器会跳过 JSF 资源请求,其缓存实际上需要单独配置)
要让它在每个 JSF 请求上运行,请在过滤器类上设置以下注释,假设您的 webapp 中<servlet-name>的值为:FacesServletweb.xmlfacesServlet
@WebFilter(servletNames={"facesServlet"})
或者,要使其仅在特定的 URL 模式上运行,例如与受限页面匹配的模式,例如/app/*、/private/*、/secured/*等,请在过滤器类上设置以下注释:
@WebFilter("/app/*")
如果您已经有登录用户,您甚至可以在检查登录用户的过滤器中执行相同的工作。
如果您碰巧使用 JSF 实用程序库OmniFaces,那么您也可以直接获取它的CacheControlFilter. 这也透明地考虑了 JSF 资源。
也可以看看:
于 2012-04-24T20:50:46.097 回答
10
我还找到了另一个很好的解决方案。
在 faces-config.xml 添加
<lifecycle>
<phase-listener id="nocache">client.security.CacheControlPhaseListener</phase-listener>
</lifecycle>
并实现以下类:
package client.security;
import javax.faces.context.FacesContext;
import javax.faces.event.PhaseEvent;
import javax.faces.event.PhaseId;
import javax.faces.event.PhaseListener;
import javax.servlet.http.HttpServletResponse;
@SuppressWarnings("serial")
public class CacheControlPhaseListener implements PhaseListener
{
public PhaseId getPhaseId()
{
return PhaseId.RENDER_RESPONSE;
}
public void afterPhase(PhaseEvent event)
{
}
public void beforePhase(PhaseEvent event)
{
FacesContext facesContext = event.getFacesContext();
HttpServletResponse response = (HttpServletResponse) facesContext
.getExternalContext().getResponse();
response.addHeader("Pragma", "no-cache");
response.addHeader("Cache-Control", "no-cache");
// Stronger according to blog comment below that references HTTP spec
response.addHeader("Cache-Control", "no-store");
response.addHeader("Cache-Control", "must-revalidate");
// some date in the past
response.addHeader("Expires", "Mon, 8 Aug 2006 10:00:00 GMT");
}
}
于 2012-04-25T15:01:37.840 回答