注销后如何保护我的帐户？

Question

我有一种情况 - 在我从页面注销后，如果有人在浏览器中单击“返回”按钮，它会自动再次进入返回页面。在 Logout.java (Servlet) 我使用：

session.invalidate();
request.getRequestDispatcher("index.jsp").forward(request,response);

一切正常。但是注销后，如果我在浏览器中单击返回按钮（左上角），它会回到我所在的位置。如果我单击返回，我想这样做，那么必须说您的会话已过期或登录或其他。怎么做。请提出您宝贵的建议。
我刚读到这个，我创建了一个 servlet FilterURL.java：

public class FilterURL extends HttpServlet implements Filter {
    @Override
    public void init(FilterConfig config) throws ServletException {
    //
    }

    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
      HttpServletResponse hsr = (HttpServletResponse) res;
      hsr.setHeader("Cache-Control", "no-cache, no-store, must-revalidate"); // HTTP 1.1.
      hsr.setHeader("Pragma", "no-cache"); // HTTP 1.0.
      hsr.setDateHeader("Expires", 0); // Proxies.
      chain.doFilter(req, res);
    }

    @Override
    public void destroy() {
    //
    }

    @Override
    protected void doPost(HttpServletRequest request, HttpServletResponse response)
        throws ServletException, IOException {
    //
    }
}

还有我的 web.xml:(在 web-app 下)

<filter>
    <filter-name>FilterURL</filter-name>
    <filter-class>com.filter.url.sys.FilterURL</filter-class>
</filter>
<filter-mapping>
    <filter-name>FilterURL</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

但它不会工作。我错了什么？？
我是从这个页面读到的：

1. How to use a servlet filter in Java to change an incoming servlet request url?
2. Prevent user from seeing previously visited secured page after logout
3. http://tutorials.jenkov.com/java-servlets/servlet-filters.html
4. servlet session , after logout , when back button of browser is pressed , again the secure page is shown

Answer 1

在filter

HttpSession session = request.getSession(false);
                                 // don't create if it doesn't exist
if(session != null && !session.isNew()) {
    chain.doFilter(request, response);
} else {
    response.sendRedirect("/index.jsp");
}

见checking session in servlet and jsp

Answer 2

使用 servlet 过滤器链接以获得更好的安全性。

源 Oracle

堆栈溢出的解释

How to use a servlet filter in Java to change an incoming servlet request url?

有关教程，请参阅此链接。

http://viralpatel.net/blogs/tutorial-java-servlet-filter-example-using-eclipse-apache-tomcat/

一个不错的 -- http://tutorials.jenkov.com/java-servlets/servlet-filters.html

过滤器可以执行许多不同类型的功能。我们将在本文中讨论斜体项目的示例：

• 基于用户身份的身份验证阻止请求。

• 记录和审核 - 跟踪 Web 应用程序的用户。

• 图像转换-缩放贴图等。

• 数据压缩——使下载更小。

• 本地化 - 将请求和响应定位到特定语言环境。

• XML 内容的 XSL/T 转换 - 将 Web 应用程序响应定位到不止一种类型的客户端。

阅读官方文档http://www.oracle.com/technetwork/java/filters-137243.html

Answer 3

它是否再次从服务器加载页面？然后你需要检查你的用户识别和会话代码。其他答案中已经给出了一些提示。

如果页面在浏览器的缓存中，那么您很不走运，浏览器可以再次显示它。毕竟是本地文档。

但有一些可能的解决方法（如果您的用户和会话识别有效）。

• 将 HTTP 标头设置为过期、缓存控制，以便建议浏览器每次都重新加载页面。取决于浏览器的行为方式。
• 全部使用 JavaScript，即构建单页 Web 应用程序，从而完全删除后退按钮功能。有时是一种有效的方法，但不是每次都有效。当使用应该可以通过唯一 URL 访问的资源时，它不是。
• 在注销和新页面之间进行重定向（如redirect-after-post），因此单击后退按钮将引导用户进入重定向页面并立即再次进入您将用户发送到之后的页面注销。
• 在每个页面上使用一些 Ajax 来检查用户是否仍然登录；如果没有，请重定向到登录页面。

Answer 4

这是这样做的：

<script>
   history.forward();
</script>

在每个页面的<head> 部分添加它可以防止这个问题。