禁用浏览器前进/后退按钮的网页缓存

Question

我正在使用以下元标记来阻止页面的浏览器缓存：

<meta http-equiv="Cache-Control" content="no-cache, no-store, must-revalidate, max-stale=0, post-check=0, pre-check=0" />
<meta http-equiv="Pragma" content="no-cache" />
<meta http-equiv="Expires" content="-1" />
<meta http-equiv="Vary" content="*" />

案例：

1. 浏览器已使用page1打开。
2. 新链接会粘贴在浏览器地址栏中，现在已打开安全页面page2。
3. 用户对page2执行操作，并重定向至page3。

点击page3上的后退按钮，然后用户被重定向到page1（没有缓存，在这种情况下工作正常）。当用户点击page1上的转发按钮时，用户将转到受保护的网页page2。这不应该发生。

以上所有内容均在IE9上进行测试。

这是如何引起的？如何解决？

Answer 1

您对HTML <meta http-equiv>代码的初步尝试指定了right header values，但是，这根本不起作用，因为您的网页已经通过HTTP提供服务。 <meta http-equiv>标头指定“HTTP等效”标头，仅在使用HTTP协议提供非页面时使用。

例如，从本地磁盘文件系统打开页面时就像双击本地磁盘文件系统资源管理器中的.html文件一样。这将通过.html URI而不是file:// URI打开http://文件。

您应该在真实 HTTP响应上设置这些标头。您可以按Chrome / FireFox中的F12＆gt; = 23 / IE＆gt; = 9并在网络标签中浏览HTTP流量，调查当前HTTP响应的标头。如果是IE9 / 10，请单击开始捕获按钮，重新加载页面，选择HTML页面，单击转到详细视图按钮，最后单击响应标头标签。这是一个关于IE10在当前问题上的样子的截图：

使用HttpServletResponse#setHeader()和setDateHeader()，addHeader()之类的朋友等正确使用这些标头的正确方法正如你所知，一种方法是servlet过滤器。

另见：

• Avoid back button on JSF web application

Answer 2

我发现最好的解决方案是以下过滤器：

import java.io.IOException;
import javax.faces.application.ResourceHandler;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * Servlet Filter implementation class NoCacheFilter
 */
  @WebFilter(urlPatterns = {"*.xhtml"})
  public class NoCacheFilter implements Filter {

/**
 * Default constructor. 
 */
public NoCacheFilter() {
    // TODO Auto-generated constructor stub
}

/**
 * @see Filter#destroy()
 */
public void destroy() {
    // TODO Auto-generated method stub
}

/**
 * @see Filter#doFilter(ServletRequest, ServletResponse, FilterChain)
 */

@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
    HttpServletRequest req = (HttpServletRequest) request;
    HttpServletResponse res = (HttpServletResponse) response;

    // apply no caching for all web pages except resources, you can customize that to be applied for specific pages
    if (!req.getRequestURI().startsWith(req.getContextPath() + ResourceHandler.RESOURCE_IDENTIFIER)) { // Skip JSF resources (CSS/JS/Images/etc)
        res.setHeader("Cache-Control", "no-cache, no-store, must-revalidate"); // HTTP 1.1.
        res.setHeader("Pragma", "no-cache"); // HTTP 1.0.
        res.setDateHeader("Expires", 0); // Proxies.
    }

    chain.doFilter(request, response);
}
/**
 * @see Filter#init(FilterConfig)
 */
public void init(FilterConfig fConfig) throws ServletException {
    // TODO Auto-generated method stub
}

}

根据这个问题的答案：

Redirect to login page when user clicks on back button after logout in JSF