用户登陆,登陆成功后将用户名和密码保存到session中,然后转到登陆成功后的页面。
现在有一个问题,如果有人看到了某一个页面的url,可以直接在地址栏直接输入url进去,由于session中有用户名和密码,所以系统认为他也是合法的用户,如何解决?
处理:
一、 session是存在服务器上面的
session有两种方式一个是cookies一个就是url重写
但是不管是哪种 都是向服务器传达的是session的ID
所以解决的方法就是
为session设置一个存活期:session.setMaxInactiveInterval(10);
二、让浏览器不再缓存
<%
response.setHeader("Pragma","No-cache");
response.setHeader("Cache-Control","no-cache");
response.setDateHeader("Expires", 0);
%>
posted on 2006-03-22 09:31
xnabx 阅读(152)
评论(0) 编辑 收藏