如何防止用户“返回”但在 JSP 中注销后保留缓存？

Question

我需要启用缓存并禁止用户在退出后返回后查看信息。

我知道，在注销 + 后退按钮时显示的缓存页面是浏览器中的设计。我知道禁用缓存是一种强制注销+返回强制重新验证的方法。

使用 JSP（特别是 CQ5），这是否可能？

我有以下解决方案，但不确定哪种方法最适合我的需求：

1. 到处禁用缓存。这可行，但不可接受，因为我们使用的发布商将忙于重新更新页面。
2. “注销”按钮 POST 到页面 A。页面 A 终止会话并将用户转发到页面 B，并带有一些“您已注销”消息。来自页面 B 的“返回”将弹出浏览器提供的有关必须重新发布值的消息。是 = 他们注销（此时无害）并再次转发到页面 B。不 = 他们无害地坐在页面 A。但是，“返回”+“否”+“返回”可能会将它们放在缓存页面上，或者从历史记录中选择仍会显示缓存页面。
3. “注销”按钮会弹出一个新窗口，询问他们是否确定/警告他们关闭会话。 “我确定”会执行 window.opener.reload() 或 window.opener.close()。但是，如果 JavaScript 被禁用，我们就完蛋了。
4. “注销”发布到当前页面。所有页面都检查是否存在一些 POSTd 值。如果存在，请使用“您已注销消息”转发到页面 B。类似于#2。这实际上会将页面重新缓存到“您已注销”页面，但“返回”或历史记录仍将有缓存页面。

有没有办法手动清除用户的缓存，或者强制验证检查甚至在缓存页面上进行？我在这里没有想法......

Answer 1

你的问题是你试图缓存一些应该保密的东西。在密码后面缓存信息是不安全的，而且存在风险。

但是，将页面的通用 html 部分缓存在密码后面可能是有意义的。在这方面，任何登录用户都可以看到的任何内容都可以。只有用户名、地址、电话号码等特定信息是敏感的。

如果您进行单独的 JSON 调用来拉取数据，信息将是轻量级的，但仍然安全，因为它没有缓存在系统上，也没有填充 html 格式等。

如果用户会话由于某种原因被中断，页面还可以智能显示登录挑战，他们重新输入并从上次中断的地方继续，同时仍然保持返回按钮在原位。

我还认为历史记录中是否保留了任何敏感信息，例如 id、操作等，这也可能是一个问题。

只需考虑几件事。