我有一些网站需要登录并显示敏感信息。
用户进入该页面,系统会提示您登录,然后即可查看信息。
该用户注销该站点,并被重定向回登录页面。
然后,该人可以点击“返回”并直接返回到包含敏感信息的页面。由于浏览器只是将其视为呈现的 HTML,因此向他们显示它没有问题。
有没有办法防止当用户从注销屏幕点击“后退”按钮时显示该信息?我并不是想禁用后退按钮本身,我只是想阻止敏感信息再次显示,因为该人不再登录该网站。
为了便于讨论,上面的站点/场景是在带有表单身份验证的 ASP.NET 中(因此,当用户转到第一页(他们想要的页面)时,他们会被重定向到登录页面 - 以防万一的差异)。
简而言之,它无法安全地完成。
然而,有很多技巧可以使用户难以反击并显示敏感数据。
Response.Cache.SetCacheability(HttpCacheability.NoCache);
Response.Cache.SetExpires(Now.AddSeconds(-1));
Response.Cache.SetNoStore();
Response.AppendHeader("Pragma", "no-cache");
这将禁用客户端的缓存,但是这是并非所有浏览器都支持.
如果您可以选择使用 AJAX,则可以使用从客户端代码更新的更新面板检索敏感数据,因此除非客户端仍处于登录状态,否则在回击时不会显示敏感数据。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
