防止登录之后,利用浏览器的后退功能,返回登录前的页面,在次登录报错

最新推荐文章于 2022-10-17 11:07:56 发布
最新推荐文章于 2022-10-17 11:07:56 发布
阅读量3.4k 收藏 2
点赞数
分类专栏: asp.net mvc 文章标签: .net mvc c#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ljx896779016/article/details/84541130
版权

       这个原因要从MVC 中的Html.AntiForgeryToken()说起了,呵呵。

       MVC中的Html.AntiForgeryToken()是用来防止跨站请求伪造(CSRF:Cross-site request forgery)攻击的一个措施,它跟XSS(xss又叫css:Cross-Site-Script),攻击不同,xss一般是利用站内信任的用户在网站内插入恶意的脚本代码进行攻击,而csrf则是伪造成信任用户对网站进行攻击。

      每一次登录的时候都会获取到一个验证码即:key,如: @Html.AntiForgeryToken(),在后台添加一个验证标签 如:

 [HttpPost]
 [ValidateAntiForgeryToken]//验证标签
        public ActionResult Login(LoginModel model)
        {           
        }

      登录完成之后,在利用浏览器的后退功能,返回到登录前的页面,这是利用浏览器的缓存。它获取到的那个key是没有被刷新的,还是原来的,这样再次登录,就会报错了。这种的解决方法应该有多种吧。

      我是写了一个标签,去清除缓存,当后退到登录页面时,是在去刷新页面。这样不是缓存,而是再次刷新页面,重新获取这个key。

     代码如下 清除缓存:

public class DisableCacheAttribute : ActionFilterAttribute
    {
        public override void OnResultExecuting(ResultExecutingContext filterContext)
        {
            var cache = filterContext.HttpContext.Response.Cache;
            cache.SetRevalidation(HttpCacheRevalidation.AllCaches);
            cache.SetNoStore();
            cache.SetExpires(DateTime.UtcNow.AddDays(-1));
            cache.SetValidUntilExpires(false);
            cache.SetCacheability(HttpCacheability.NoCache);

        }

 在control加上这个标签:

 [DisableCache]//清除缓存标签
        public ActionResult Login(string ReturnUrl,string type)
        {
            ViewBag.ReturnUrl = ReturnUrl;
            ViewBag.logintype = type;
            return View();
        }

 (二)防止退出登录后 利用浏览器后退功能 回到登出前的页面

完全是处于对信息安全的考虑,因为一般都会设置session来控制用户对一些页面的非法访问。但是session防止不了浏览器的后退。也就是说你退出登录后,如果不关闭页面,还是有可能泄露信息的。下面两种方式,当然并不止两种,而且肯定有更好的方式。

(1)关闭旧页,打开新页:

function co(){
    window.open("");
    window.opener = null;
    window.close();
}

 (2)页面自动刷新一次,这样即使后退,也是看到刷新后,经过session验证的页面

(a)通过url刷新:

function refresh(){
    url = location.href; //把当前页面的地址赋给变量 url
    //分切变量 url 分隔符号为 "#"
    if( url.indexOf("#") == -1){ //如果url后没有#
        url += "#"; //加入 #
        self.location.replace(url); //刷新页面
    }
}

 (b)通过cookie刷新

//自动刷新一次,如果没登录过,新建一个cookie:views 置为1,根据views是否有值判断是否是第一次浏览,如果是第一次就刷新。
function autoRefresh() {
    if (getCookie("views") != 1) {
        document.cookie = "views = 1";
        if (getCookie("view") != 1)
            location.reload()
        else
            refresh();//如果浏览器不允许写cookie 则用url刷新方法,确保万无一失。
    } else{
        delCookie("views");
    }
        
}
function getCookie(name) {
    //获取指定名称的cookie的值
    var arrStr = document.cookie.split("; ");
    for ( var i = 0; i < arrStr.length; i++) {
        var temp = arrStr[i].split("=");
        if (temp[0] == name)
            return unescape(temp[1]);
    }
    return null;
}
 function delCookie(name){
     //为了删除指定名称的cookie,可以将其过期时间设定为一个过去的时间 
     var date = new Date();
     date.setTime(date.getTime() - 10000);
     document.cookie = name + "=a; expires=" + date.toGMTString();
 }

 

 

 

ljx896779016
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
javaweb用户注销后点击浏览器返回刷新页面重复登录问题的解决方法
09-01
在Java Web开发中,用户登录和注销功能是核心部分,而用户注销后点击浏览器返回按钮,导致页面刷新并重新登录的问题是一个常见的困扰。这个问题的出现主要是由于浏览器缓存了用户登录时的表单信息,当用户注销后,...
oauth2.0 注销登录再次访问authorize授权接口会跳过登录页面问题解决
it佳佳的博客
04-27 2619
子系统后端分离时,退出并不能正确的清除SSO的login的用户信息,因为它是存在服务器上的,端无法清除,用后端清除但因为是后端分离,注销并不能正确携带request给服务器来清空用户登录信息,所以会出现,注销登录再次访问authorize授权接口会默认使用cookie导致登录成功跳过登录页面 解决方案:做AOP切入authorize接口,在使用authorize获取code之,做一次清除用户信息的操作,使得每次获取code都是未登录状态,避免跳过登录页面 代码直接粘就完了!!! import c
spring-oauth集成cas单点登录,登陆完成进入授权页面后,按回退按钮进入404页面的问题
heartlifes
06-09 1036
原文及更多文章请见个人博客:http://heartlifes.com 背景:1.项目中使用耶鲁的cas做单点登录。 2.使用spring-oauth包实现oauth2服务 3.使用spring-cas做spring-security及cas的集成现象:开发了个bug,大致流程就是 系统调用/oauth/authorize接口,被spring-security拦截进入cas登录界面后,用户输入
记vue nginx springcloud oauth2.0三方系统登录中问题处理过程
独行侠的守望の博客
10-18 1867
今天是个好日子,杭州雨过天晴,而且,折腾我近半个月的问题迎来解决胜利的曙光。 之的一段时间主要花在端vue方面了。在面对vue的痛苦、焦躁中,一次次想要放弃,又一次次捡起来,硬着头皮去查找方案解决问题,这种滋味真的酸爽难以忘却。经过一段时间的吭哧吭哧,好在终于搞定了首页、登录、注册页的样式和更改后的功能。期间处理了element-ui 改为普通样式布局,开发自定义的样式、路由不受控制自动跳转刷新网页、自定义js事件不触发、button按钮二次点击才生效 等等一系列的问题...
vue 退出后禁止浏览器进或者后退
最新发布
weixin_47906106的博客
10-17 2255
用户在退出登录后需要清楚sessionStorage,并且重定向到login页面,但是在没有退出的情况下点击浏览器后退按钮然后再点击进不用登陆依然可以访问的原页面,现在需要解决这个问题。在退出后要跳转到的页面 禁止回退页面的mounted( )方法中添加禁止浏览器后退的方法。
防止用户按浏览器后退按钮回到登陆页面
weixin_34025051的博客
01-15 684
这个在注册或者登陆的时候是一个普遍的问题,登陆之后,跳转到另外一个页面,如果这时候用户不小心点了后退按钮如果处理不当的话就会重新回到登陆页面,但事实是用户已经登录了,所有页面的状态都应该是已登录的,不管什么情况下都不应该让用户在看到这个页面。用户的点击操作会引发上面的问题,而程序 history.go(-1) & history.back() 也会有一样的bug。 这样的问题处理方案比较...
Asp.net中防止用户多次登录的方法
10-30
总的来说,防止用户多次登录的实现涉及到对用户登录状态的跟踪,以及处理异常的浏览器关闭情况。通过结合使用`Application`对象和JavaScript,我们可以创建一个相对健壮的机制来确保同一用户在同一时间只能有一个...
spring mvc实现登录账号单浏览器登录
08-30
使用 Spring MVC 实现登录账号单浏览器登录需要使用 LoginListenner 监听类、login 登录方法以及在 web.xml 中配置监听类 LoginListenner。通过这种方式,我们可以实现在同一时刻,只允许一个账号同时只能在一个...
js禁止浏览器页面后退功能的实例(推荐)
10-19
在JavaScript编程中,有时我们需要禁用浏览器的默认后退功能,比如在用户完成登录、支付等操作后,防止用户意外点击后退按钮导致数据丢失或出现误状态。本篇文章将详细解析如何通过JavaScript实现这一功能。 首先...
java web中 HttpClient模拟浏览器登录后发起请求
08-30
Java Web 中 HttpClient 模拟浏览器登录后发起请求是指在 Java Web 应用程序中使用 HttpClient 库模拟浏览器的行为,模拟浏览器登录到服务器,然后发起请求获取资源。这种技术广泛应用于爬虫、自动化测试、数据爬取...
退出登录后点击后退问题解决方案
12-05
能够很好的解决登录后 点击退出按钮后 仍能用浏览器后退返回的问题
cookie用户自动登录和事件监听机制
zht1085120387的专栏
12-04 1478
1、 package com.hbsi.csdn.Dao; import java.util.Arrays; import java.util.List; import com.hbsi.csdn.domain.User; public class UserDao {  List db = Arrays.asList(new User("aa", "11"), new User("bb
用javascript实现禁止页面后退返回上一页的代码
自强不息
07-25 1657
用javascript实现禁止页面后退返回上一页的代码:有时候我们需要用户在点击了如下一步的按钮时,页面跳转到了下一个页面,这时想不允许用户返回后退到上一页,可以采用下面的方法:在需要跳转的页面(上一个页面),添加如下代码:&lt;scripttype="text/javascript"&gt;history.go(1);&lt;/script&gt;这时,如果从此页面跳到另外一个页面后,即使点击...
uniapp 退出登录,重新登录数据缓存,页面未刷新
m0_50307759的博客
05-20 2662
开发中遇到退出登录,重新登录的时候数据还是之登录的信息,是因为我用了,uni.navigateTo() 导致之页面没有关闭,并且重新登录发现主页面也没有刷新,因为页面没有关闭,直接读的 缓存 解决 退出使用#uni.reLaunch() 关闭所有页面,打开到应用内的某个页面 uni.navigateTo() uni.reLaunch() ...
用户登陆后怎样防止用户用浏览器后退按钮退出登陆后的页面 ?
lizhuo2872007的专栏
04-14 1687
用户登陆后怎样防止用户用浏览器后退按钮退出登陆后的页面 ?在需要失效的页面加入window.history.go(1)   
在Java web项目中防止用户注销后使用浏览器中的“后退”按钮返回注销页面
S_targaze_R的专栏
01-05 9442
通常在Java web项目中用户注销是这样实现的: session().setAttribute("currentUser", null); 或者session.removeAttribute("currentUser");或者session.invalidate(); 然后重定向到登录页面。 但这样做的话,在用户注销跳转到登录页面后,如果用户点了浏览器的“后退”按钮,就可以返回到注销
解决web应用用户退出系统后浏览器后退问题
StackOverFLow
01-23 3298
1. 解决用户退出系统后,点击浏览器后退按钮,在用户登陆之或者退出之后都不应该出现在浏览器中。     造成上面的原因是:当点击后退按钮时,默认情况下浏览器不是从Web服务器上重新获取页面,而是从浏览器缓存中载入页面。     解决方法是:禁止浏览器缓存页面: Java代码   // 防止缓存           //Forces caches to obtain a n
网站安全退出后,再点击浏览器后退按钮不能返回一个页面的笨办法
想你的我专栏
09-25 9286
首先,先把浏览器分成两类:以IE和谷歌举例 IE浏览器为首的一类:这一类是先读取历史记录缓存,先把页面显示出来,然后再执行页面中写的各种js刷新页面!!!! 谷歌浏览器为首的一类:这一类是先读取页面的js刷新页面,再显示页面!! 以上是个人验证出来的观点,仅供参考! 下面贴出代码,支持这两类浏览器的本办法: 首先给退出按钮一个di: 退出 然后调用js的ajax清

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值