用戶登陸,登陸成功后將用戶名和密碼保存到session中,然后轉到登陸成功后的頁面。
現在有一個問題,如果有人看到了某一個頁面的url,可以直接在地址欄直接輸入url進去,由于session中有用戶名和密碼,所以系統認為他也是合法的用戶,如何解決?
處理:
一、 session是存在服務器上面的?
session有兩種方式一個是cookies一個就是url重寫
但是不管是哪種 都是向服務器傳達的是session的ID
所以解決的方法就是?
???? 為session設置一個存活期:session.setMaxInactiveInterval(10);
二、讓瀏覽器不再緩存
<%
response.setHeader("Pragma","No-cache");
response.setHeader("Cache-Control","no-cache");
response.setDateHeader("Expires", 0);
%>
posted on 2006-03-22 09:31
xnabx 閱讀(156)
評論(0) 編輯 收藏