Я показываю ОЧЕНЬ чувствительные данные. После того, как пользователь выйдет из системы с моего сервера, я не хочу, чтобы другой пользователь мог видеть данные, попадающие на кнопку "Назад" браузера.
Как я могу это достичь?
Избегайте возврата на веб-приложение JSF
Ответ 1
По умолчанию кнопка "Назад назад" не отправляет HTTP-запрос на сервер вообще. Вместо этого он извлекает страницу из кеша браузера. Это по сути безвредно, но действительно запутывает конечного пользователя, потому что он/она неправильно думает, что он действительно приходит с сервера.
Все, что вам нужно сделать, - это указать браузеру не кэшировать ограниченные страницы. Вы можете сделать это с помощью простого фильтра сервлета, который устанавливает соответствующие заголовки ответов:
@WebFilter
public class NoCacheFilter implements Filter {
@Override
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
HttpServletRequest request = (HttpServletRequest) req;
HttpServletResponse response = (HttpServletResponse) res;
if (!request.getRequestURI().startsWith(request.getContextPath() + ResourceHandler.RESOURCE_IDENTIFIER)) { // Skip JSF resources (CSS/JS/Images/etc)
response.setHeader("Cache-Control", "no-cache, no-store, must-revalidate"); // HTTP 1.1.
response.setHeader("Pragma", "no-cache"); // HTTP 1.0.
response.setDateHeader("Expires", 0); // Proxies.
}
chain.doFilter(req, res);
}
// ...
}
(обратите внимание, что этот фильтр пропускает запросы ресурсов JSF, чье кэширование необходимо настроить отдельно)
Чтобы запустить его для каждого запроса JSF, задайте следующую аннотацию в классе фильтра, считая, что значение <servlet-name> для FacesServlet в вашем webapp web.xml равно FacesServlet:
@WebFilter(servletNames={"facesServlet"})
Или, чтобы заставить его работать только по определенному шаблону URL-адреса, например, соответствующему узлам с ограничениями, например. /app/*, /private/*, /secured/*, или так, установите в классе фильтра следующую аннотацию:
@WebFilter("/app/*")
Вы даже можете выполнить ту же самую работу в фильтре, который проверяет зарегистрированного пользователя, если у вас его уже есть.
Если вы используете библиотеку служебных программ JSF OmniFaces, вы также можете просто захватить ее CacheControlFilter. Это также прозрачно учитывает ресурсы JSF.
См. также:
Ответ 2
Я нашел еще одно хорошее решение.
В faces-config.xml добавьте
<lifecycle>
<phase-listener id="nocache">client.security.CacheControlPhaseListener</phase-listener>
</lifecycle>
И реализуем следующий класс:
package client.security;
import javax.faces.context.FacesContext;
import javax.faces.event.PhaseEvent;
import javax.faces.event.PhaseId;
import javax.faces.event.PhaseListener;
import javax.servlet.http.HttpServletResponse;
@SuppressWarnings("serial")
public class CacheControlPhaseListener implements PhaseListener
{
public PhaseId getPhaseId()
{
return PhaseId.RENDER_RESPONSE;
}
public void afterPhase(PhaseEvent event)
{
}
public void beforePhase(PhaseEvent event)
{
FacesContext facesContext = event.getFacesContext();
HttpServletResponse response = (HttpServletResponse) facesContext
.getExternalContext().getResponse();
response.addHeader("Pragma", "no-cache");
response.addHeader("Cache-Control", "no-cache");
// Stronger according to blog comment below that references HTTP spec
response.addHeader("Cache-Control", "no-store");
response.addHeader("Cache-Control", "must-revalidate");
// some date in the past
response.addHeader("Expires", "Mon, 8 Aug 2006 10:00:00 GMT");
}
}