뒤로 단추를 눌러 보안 페이지를 표시하지 않습니까?

Question

나는 브라우저 캐시와 (분명히 공통) 문제가 발생하고있어, 내 보안 페이지 뒤로 가기 버튼을 통해 액세스 할 수있는 (사용자 로그 아웃 후.) 여기

내 logout.php

<?php 
    // 1. Find the session 
    session_start(); 

    // 2. Unset all the session variables 
    $_SESSION = array(); 

    // 3. Destroy the session cookie 
    if(isset($_COOKIE[session_name()])) { 
     setcookie(session_name(), '', time()-42000, '/'); 
    } 

    // 4. Destroy the session 
    session_destroy(); 

    redirect_to('index.php?logout=1'); 
?> 

이있다 IE7, IE8, Chrome 및 Firefox에서 사용자를 성공적으로 로그 아웃합니다.하지만 Safari에서는 로그 아웃 한 후 뒤로 버튼을 누르고 보안 콘텐츠를 볼 수 있습니다. 나는 보안 페이지를 새로 고침 경우 (예상대로). 로그인 화면에 저를 부팅

이

당신은 http://labs.inversepenguin.com @ 스스로를 시도 할 수 있습니다 (사용자 : & 패스 스택 :. 오버 플로우를)

내가 사용하려고했습니다 :

<META HTTP-EQUIV="Pragma" CONTENT="no-cache"> 
<META HTTP-EQUIV="Expires" CONTENT="-1"> 

... 그러나 효과가 없습니다. 누구든지 조언을 해줄 수 있습니까? 나는 브라우저 캐싱에 this article 발견했습니다,하지만 난 발견했다하지만 난 ... 그 안에 답변을 찾을 아직 ". 문제"

<?php 
Header("Cache-Control: must-revalidate"); 

$offset = 60 * 60 * 24 * 3; 
$ExpStr = "Expires: " . gmdate("D, d M Y H:i:s", time() + $offset) . " GMT"; 
Header($ExpStr); 
?> 

...하는도 해결되지 않습니다 흠.

Answer 1

HTTPS를 사용할 수있는 경우 Cache-control: no-cache 헤더와 결합하면 "페이지 캐시"(메모리 캐시/역방향 캐시의 WebKit 용어)가 비활성화됩니다. 단점은 로그 아웃 후에뿐 아니라 모든 보안 페이지 뷰에 대해 비활성화된다는 것입니다. (Source; 예외를 허용하는 데주의를 기울이고 있습니다.)

JavaScript를 사용하는 경우 unload 이벤트 핸들러를 연결하면 "페이지 캐시"가 차단됩니다. 이것은 "로그 아웃"버튼이나 링크가 클릭되었을 때만 캐시를 깨기 위해 unload 이벤트 핸들러를 첨부 할 수도 있습니다. (Source)

이러한 솔루션 중 어느 쪽도 이상적이지 않지만 그 중 하나는 가치있는 절충안입니다.

Answer 2

이것은 웹킷/사파리 문제인 것처럼 보입니다. 여기에 결정적인 대답이 없이는 전에 묻습니다 - Safari Back button not honouring PHP logout session

답변에서 링크를 살펴보면 언로드 이벤트에서 답을 찾을 수있을 것 같아요.

Answer 3

문제의 일부는 앞으로 Expires 헤더를 설정하는 것입니다. 브라우저는 무언가가 캐시에 남아 있어야하는 시간의 지표로 Expires 헤더를 사용합니다. 이것을 시도하십시오 :

$ offset = 60 * 60 * 24 * 3;
$ ExpStr = "만료 :". gmdate ("D, d M Y H : i : s", 시간() - $ 오프셋). "GMT";
헤더 ($ ExpStr);

이전에는 만료 헤더를 설정하고 브라우저가 매번 페이지를 다시 요청하도록합니다.