Domanda

Ho aggiunto il seguente codice alla mia masterpage (Load) così una volta che un utente si disconnette non saranno in grado di utilizzare il pulsante indietro per vedere la pagina erano in precedenza a.

 Response.Buffer = true;
 Response.ExpiresAbsolute = DateTime.Now.AddDays(-1);
 Response.Expires = -1;
 Response.CacheControl = "no-cache";

Il problema è che i miei utenti vogliono essere in grado di utilizzare il pulsante del browser posteriore mentre sono connessi nell'applicazione. Quando ho commentare il codice fuori di non memorizzare nella cache le pagine che possono utilizzare il pulsante indietro, ma una volta che il logout possono utilizzare il pulsante indietro per vedere la pagina precedente erano su che provoca un rischio per la sicurezza.

Qualcuno ha qualche suggerimento in modo da poter utilizzare il browser di nuovo pulsante nella domanda, ma una volta che sono registrati fuori che non possono tornare nell'applicazione?

È stato utile?

Soluzione

E 'l'obiettivo di evitare che un utente non autenticato da surrettiziamente visitare un computer precedentemente utilizzato e vedere ciò che l'utente autenticato stava facendo? In quest'ultimo caso, allora si dovrebbe reindirizzare l'utente a una pagina di logout che ha un window.close (); comando con un linguaggio forte su questo essere un requisito . Ora, questo non è ferrea: IE chiedere l'utente se sono disposti a lasciare che l'applicazione chiudere la finestra e altri browser ignorano la richiesta del tutto. Tuttavia, nel giusto tipo di ambiente di sicurezza, penso che esso fornisce una significativa aggiunta alla vostra politica di sicurezza -. Anche se di una varietà prevalentemente culturale (aiuta i membri della cultura rispettare le regole)

Se si vuole "una sola volta attraverso e si è fatto" tipo di titolo, allora temo che bloccando la cache o l'aggiunta di "window.forward ()" per ogni pagina (che impedisce l'utilizzo del pulsante Indietro ) è l'unica opzione reale.

Un altra cosa: AJAX fornisce alcuni strumenti che aiutano pure. Si potrebbe mettere le informazioni sensibili su un pannello di aggiornamento e avere il caricamento della pagina javascript attivare un aggiornamento del pannello di aggiornamento. Dal momento che questo sarà sempre tornare al server, gli utenti non autenticati / expired saranno allontanati. Si tratta di un carico di lavoro piuttosto significativo ad assumere, ma ho pensato di buttare là fuori.

Altri suggerimenti

YUI fornisce un modo per controllare facilmente la storia del browser di pugno di programmazione URL nella storia. Date un'occhiata al YUI agenzia cronologia del browser .

Autorizzato sotto: CC-BY-SA insieme a attribuzione
Non affiliato a StackOverflow
scroll top