Есть ли способ, чтобы сохранить страницу с рендеринга, как только человек выйдет из системы, но нажать на кнопку «назад»?

От aspdev.org :

Добавьте следующую строку в верхней части обработчика события Page_Load и ваша страница ASP.NET не будет кэшировать в браузерах пользователей:

Response.Cache.SetCacheability(HttpCacheability.NoCache)

Параметры это свойство гарантирует, что если пользователь нажимает кнопку назад содержание не будет, и если он нажимает «обновить», он будет перенаправлен на логин-странице.

Вы ищете директивы в не-кэш:

<META HTTP-EQUIV="PRAGMA" CONTENT="NO-CACHE">

Если у вас есть дизайн главной страницы происходит, это может быть немного немного жонглировать, но я полагаю, вы можете поместить эту директиву на одной странице, не затрагивая остальную часть вашего сайта (при условии, что это то, что вы хотите).

Если у вас есть эта директива набора, браузер будет послушно направиться обратно на сервер ищет совершенно новую копию страницы, которая заставит ваш сервер, чтобы увидеть, что пользователь не прошел проверку подлинности и ударять его на страницу входа в систему.

Был ли операция выхода из системы будет POST. Затем браузер запросит «Вы уверены , что хотите повторно опубликовать форму?» а не показать страницу.

Я не знаю, как сделать это в ASP.NET, но в PHP я хотел бы сделать что-то вроде:

header("Expires: Mon, 26 Jul 1997 05:00:00 GMT");
header("Cache-Control: no-cache");
header("Pragma: no-cache");

Что заставляет браузер перепроверить, что этот пункт, так что ваша проверка подлинности должен быть запущена, отрицая доступ пользователей.

Правильный ответ предполагает использование установки заголовка Cache-Control HTTP на ответ. Если вы хотите , чтобы убедиться , что они никогда не кэшировать вывод, вы можете сделать Cache-Control: нет-кэша. Это часто используется в координации с не-магазина , а также.

Другие варианты, если вы хотите ограниченное кэширование, включают в себя установку истекает время и должн возобновляют, но это может потенциально привести все в кэше страницы будет отображаться снова.

См http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.html#sec14.9.4

Это немного напрягаться, но если вы имели Java-апплет или флэш-приложение, которое заливало и аутентификация был сделано через что вы могли бы сделать так, чтобы они были для проверки подлинности в, гм, «в реальное время» с каждый раз сервером они хотели, чтобы просмотреть информацию.

С помощью этого вы можете также шифровать любую информацию.

Там всегда есть возможность, что кто-то может просто сохранить страницу с чувствительной информацией о, имея кэша не не собирается обойти эту ситуацию (но скриншот всегда может быть взят из флэша или Java-приложения).

Для полноты картины:

Response.Cache.SetCacheability(HttpCacheability.NoCache);
Response.Cache.SetNoStore();
Response.Cache.SetExpires(DateTime.Now.AddMinutes(-1));

DannySmurf, <META> элементы крайне ненадежны , когда дело доходит до управления кэшем, а также Pragma , в частности , даже в большей степени. Ссылка .

dannyp и другие, не-кэш не останавливаются кэшей от хранения конфиденциальных ресурсов. Это просто означает, что кэш не может служить ресурсом он сохраненный без повторного съема его первым. Если вы хотите, чтобы предотвратить чувствительные ресурсы кэшируются, вам нужно использовать директиву нет-магазина.

Ну, в крупном банке бразильские корпорации (Banco ду Бразил), который, как известно, имея один из самых безопасных world's и эффективный домашний банковского программного обеспечения, они просто положить history.go (1) в каждом page.So, если вы попали кнопку назад, вы будете возвращены. Просто.

Посмотрите, пожалуйста, в заголовки ответа HTTP. Большая часть кода ASP, что люди проводки выглядит настройка тех. Быть уверенным.

Бурундук книга от O'Reilly библия HTTP и HTTP книга Криса Шифлетт в хорошо , как хорошо.

Кэш и история являются независимыми и не должны влиять друг на друга.

Единственное исключение сделано для банков является то , что сочетание HTTPS и Cache-Control: must-revalidateсилы обновления при навигации в истории.

В простом HTTP нет никакого способа сделать это за исключением использования багов браузера.

Вы можете взломать вокруг него с помощью Javascript , который проверяет document.cookieи перенаправляет когда печенье «киллер» установлен, но я полагаю , это может пойти совсем неправильно , когда браузер не установлен / очистить куки точно так , как ожидалось.

Вы можете иметь веб-страницу с чувствительным возвращаются как HTTP POST, то в большинстве случаев браузеры дадут вам сообщение с просьбой, если вы хотите, хотите повторно отправить данные. (К сожалению, я не могу найти канонический источник такого поведения.)

Я просто имел банковский пример в виде.

Страница моего банка имеет это в нем:

<meta http-equiv="expires" content="0" />

Это должно быть об этом я полагаю.

Вы могли бы иметь Javascript функция делает быструю проверку сервера (AJAX), и если пользователь не вошел в систему, стирает текущую страницу и заменяет его с сообщением. Это, очевидно, будет уязвимо для пользователя чьего Javascript выключен, но это довольно редко. На верху, это как браузер и серверные технологии (ASP / PHP и т.д.) агностиком.