使用 session.removeAttribute()之后, return 回index.jsp页面。
但是后退再刷新,页面的值又出现了还可以传递
网上的方法是禁用浏览器缓存,但其他正常返回index页面的操作也就被影响了。
由于静态页面也没法通过js获取session值进行判断
请问各位大神都用的什么方法?
返回又如何,你的程序提交任何数据到服务器端,都应该有服务器的验证。服务器已经注销,那么客户端就算返回到之前的页面,它也不能提交任何信息了。
要注意客户端是不可以信任的,稍微有经验的用户完全可以构造虚假的http请求提交数据(相当于即便你不允许用户返回之前的页面,用户也能自己造一个登录后的页面出来),所以你不应该指望客户端是否能返回登录前的页面。
加session验证,判断session是否存在,在访问服务器蛋地方。
注销操作不仅仅是移除这个属性,还应该使得当前会话失效的。HttpSession提供了注销会话的方法就是:invalidate()
得当前会话失效session.invalidate()
request.getSession().invalidate();