Discussion :

[moimoimoi]

j'ai un problème avec l'appui sur "précédent".
j'ai un site avaec compte utilisateurs. si quelqu'un s'est connecté et à été visionner ses données. après il se déconnecte sans fermer la fenetre.

si quelqu'un d'autre clique sur précédent il verra la fenetre précédentes avec toute les données de celui qui est passé avant

[Rami]

après il se déconnecte...

c'est a dire?
il y du code pour la déconnexion?
si oui, le poster serait utile....

[Johan31]

Ecoute Rami a raison. J'ai egalement ce genre de site et lorsque l'utilisateur se déconnecte je fais un

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Session.Abandon()

et une redirection vers la page de login. J'ai beau faire des précédents ou des suivants sur le navigateur je ne retrouve pas l'historique.

[moimoimoi]

moi je fais à la connection:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

FormsAuthentication.SetAuthCookie(userid.ToString(),false);

et a la deconnection:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

FormsAuthentication.SignOut();

puis une redirection:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Response.Redirect("mapage.aspx");

j'ai rajouté

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

 Session.Abandon()

et pareil

[Balise [code] rajoutée par Rami ]
[merci d'y penser la prochaine fois]

[David.V]

puis une redirection:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Response.Redirect("mapage.aspx");

Essaies avec une redirection en javascript :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
Response.Write("<script language=""javascript"">document.location.replace('mapage.aspx');</script>)

[moimoimoi]

ça va po mieux

[Johan31]

Essaie au lieu de

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Response.Redirect("mapage.aspx");

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Server.Transfert("mapage.aspx");

[moimoimoi]

ya rien a faire

[moimoimoi]

en fait je suis dans une entreprise. ce pourrait t il qu'il y ai quelque chose qui permette ça?

j'ai fait le test avec ce forum:

si par exemple je regarde mon profil puis je fais déconnexion. après je fais précédent et je peux encore voir les données de mon profil

je ne suis pas sur mais je ne pense pas que ça fasse pareil chez moi

[David.V]

Bizarre, moi quand je fait la redirection via la méthode javascript "replace", ça m'interdit ensuite de pouvoir faire un précédent...

Est-ce que ta page se trouve dans une frame ?

[moimoimoi]

j'ai vraiment l'impression que c ici le probleme.

chez moi par exemple si je poste un message sur ce forum et qu'il y a une erreur, si je reviens en arriere pour le reposter, ce que j'ai tapé n'est plus la alors qu'ici c le cas

[Maniak]

La gestion de l'historique des pages dépend du navigateur. Du côté du code, mis à part indiquer de ne pas garder les pages en cache, y a pas des milliards de choses à faire (sauf bidouiller en javascript, mais c'est loin d'être garanti ni imparable).

Si malgré l'indication de ne pas conserver de cache, le navigateur le fait quand même... ben... si tu tiens vraiment à ce qu'une déconnexion soit suivie d'une fermeture de la fenêtre, tu peux toujours faire exactement ça : balancer un window.close() après la déconnexion :)
(ça reste dans le domaine de la bidouille JS, mais au moins le résultat est sûr d'être le même sur tous les navigateurs pour qui ce n'est pas désactivé :)

[Keihilin]

Il faut décomposer le problème...

Il faut d'abord un mécanisme de sécurité sur chaque page appellée.
Ce mécanisme permet de gentiment renvoyé l'utilisateur vers la page de login dans les cas où :

Sa session a expiré
Son cookie qui servait à l'authentification n'est pas présent

Revenons au problème :

Un utilisateur se connecte, effectue son boulot, puis se déconnecte sans fermer le navigateur. Un quidam malintentionné arrive derrière et presse le bouton "back" (le fourbe !)...et arrive sur la page consultée précédemment.

Pour moi ça peut vouloir dire 2 choses (voir 3) :

Ton mécanisme de sécurité sur chaque page est pas au point.

Le navigateur à servit une version "statique" de la page, par le biais de son cache.

Eventuellement, la page à été servie de manière statique par un proxy.


Bon, le méchant pas beau voit la dernière page...Qu'est-ce qu'il peut faire ? Si ton mécanisme de sécurité est bon, en théorie il ne peut rien faire, puisque le moindre appel vers le serveur va le shooter vers la page de login.

Reste à savoir comment régler le fait qu'il puisse voir la page...
Je dirais qu'un "no-cache" aurait une chance de régler ça.

[moimoimoi]

ça marche!!!

j'ai rajouté dans page_load:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
Response.CacheControl = "no-cache";
Response.AddHeader("Pragma", "no-cache"); 
Response.ExpiresAbsolute = DateTime.Now.Date;
Response.Expires = -1;