设置页面过期，禁止浏览器后退

禁止缓存

　　在许多方案中，其中有一种建议禁止页面缓存。具体是使用服务器端脚本，如下所示：     
　　<%　

 

	Response.Buffer=true; 
	Response.ExpiresAbsolute=DateTime.Now.AddSeconds(-1); 
	Response.Expires=0; 
	Response.CacheControl= "no-cache ";

	%>

	1, 在jsp或者servlet中加入

<%
response.setHeader("Pragma","No-cache");
response.setHeader("Cache-Control","no-cache");
response.setDateHeader("Expires", 0);
%>

2, 在页面中使用HTML标记，如下面：
<HEAD>
<META http-equiv=Pragma content=no-cache>
<META http-equiv=Cache-Control content=no-cache>
<META http-equiv=Expires content=0>

　 　这种方法非常有效！它强制浏览器重新访问服务器下载页面，而不是从缓存读取页面。使用这种方法时，编程者的主要任务是创建一个会话级的变量，通过这个变 量确定用户是否仍旧可以查看那个不适合通过后退按钮访问的页面。由于浏览器不再缓存这个页面，当用户点击后退按钮时浏览器将重新下载该页面，此时程序就可 以检查那个会话变量，看看是否应该允许用户打开这个页面。
　　例如，假设我们有如下表单：     
　　<%
　　 Response.Buffer   =   True
　　Response.ExpiresAbsolute   =   Now()   -   1
　　Response.Expires   =   0 
　　Response.CacheControl   =   "no-cache" 
　　If   Len(Session("FirstTimeToPage"))   〉0   then     
　　'用户已经访问过当前页面，现在是再次返回访问。     
　　'清除会话变量，将用户重定向到登录页面。     
　　Session("FirstTimeToPage")   =   ""     
　　Response.Redirect   "/Bar.asp"     
　　Response.End     
　　End   If     
　　如果程序运行到这里，说明用户能够查看当前页面     
　　以下开始创建表单     
　　%>     
　　〈form   method=post   action="SomePage.asp"〉     
　　〈input   type=submit〉     
　　〈/form〉
　　我们借助会话变量FirstTimeToPage检查用户是否是第一次访问当前页面。如果不是第一次（即Session     
  ("FirstTimeToPage")包含某个值），那么我们就清除会话变量的值，然后把用户重新定向到一个开始页面。这样，当表单提交时（此时 SompePage.asp被打开），我们必须赋予FirstTimeToPage一个值。即在SomePage.asp中我们需要加上下面 的代码：
　　Session("FirstTimeToPage")   =   "NO"     
　 　这样，已经打开SomePage.asp的用户如果点击后退按钮，浏览器将重新请求服务器下载页面，服务器检查到 Session ("FirstTimeToPage")包含了一个值，于是就清除Session("FirstTimeToPage")，并把用户重定 向到其他页面。当然，所有这一切都需要用户启用了Cookie，否则会话变量将是无效的。（有关该问题的更多说明，请参见For   session   variables   to   work,   must   the   Web   visitor   have   cookies   enabled?）     
　　另外，我们也可以用客户端代码使浏览器不再缓存Web页面：
　　〈html〉     
　　〈head〉     
　　〈meta   http-equiv="Expires"   CONTENT="0"〉     
　　〈meta   http-equiv="Cache-Control"   CONTENT="no-cache"〉     
　　〈meta   http-equiv="Pragma"   CONTENT="no-cache"〉     
　　〈/head〉
　　如果使用上面的方法强制浏览器不再缓存Web页面，必须注意以下几点：     
  　　只有在使用安全连接时“Pragma:   no-cache”才防止浏览器缓存页面。对于不受安全保护的页面，“Pragma:   no-cache”被视为与“Expires:   -1”相同，此时浏览器仍旧缓存页面，但把页面标记为立即过期。在IE4或5中，“Cache-Control”META   HTTP-EQUIV标记将被忽略，不起作用。     
　　在实际应用中我们可以加上所有这些代码。然而，由于这种方法不能适用于所有的浏览器，所以是不推荐使用的。但如果是在Intranet环境下，管理员可以控制用户使用哪种浏览器，我想还是有人会使用这种方法。

其他方法
   
　 　接下来我们要讨论的方法以后退按钮本身为中心，而不是浏览器缓存。这儿有一篇文章Rewiring   the   Back   Button很值得参考。不过我注意到，如果使用这种方法，虽然用户点击一下后退按钮时他不会看到以前输入数据的页面，但只要点击两次就可以，这可不是我 们希望的效果，因为很多时候，固执的用户总是能够找到绕过预防措施的办法。     
  另外一种禁用后退按钮的办法是用客户端JavaScript打开一个没有工具条的窗口，这使得用户很难返回前一页面，但不是不可能。一种更安全但相当恼人 的方法是，当表单提交时打开一个新的窗口，与此同时关闭表单所在的窗口。但我觉得这种方法不值得认真考虑，因为我们总不能让用户每提交一个表单就打开一个 新窗口。     
　　那么，在那个我们不想让用户返回的页面是否也可以加入JavaScript代码呢？在这个页面中加入的 JavaScript代码可      用来产生点击前进按钮的效果，这样也就抵消了用户点击后退按钮所产生的动作。用于实现该功能的JavaScript代码如下所示： 
〈script   language="JavaScript"〉     
  〈!--     
  javascript:window.history.forward(1);     
  //--〉     
〈/script〉