用戶登陸,登陸成功后將用戶名和密碼保存到session中,然后轉(zhuǎn)到登陸成功后的頁面。
現(xiàn)在有一個問題,如果有人看到了某一個頁面的url,可以直接在地址欄直接輸入url進(jìn)去,由于session中有用戶名和密碼,所以系統(tǒng)認(rèn)為他也是合法的用戶,如何解決?
處理:
一、 session是存在服務(wù)器上面的?
session有兩種方式一個是cookies一個就是url重寫
但是不管是哪種 都是向服務(wù)器傳達(dá)的是session的ID
所以解決的方法就是?
???? 為session設(shè)置一個存活期:session.setMaxInactiveInterval(10);
二、讓瀏覽器不再緩存
<%
response.setHeader("Pragma","No-cache");
response.setHeader("Cache-Control","no-cache");
response.setDateHeader("Expires", 0);
%>
posted on 2006-03-22 09:31
xnabx 閱讀(157)
評論(0) 編輯 收藏