Hola expertos, estoy usando restfull authentication y veo que al cerrar
la
sesion del usuario , efectivamente cierra la sesion, pero al clicar
boton
volver del navegador este entra nuevamente al area restringida.
en rails hay alguna forma de desabilitar ese cache del back button como
para
que no ocurra eso?
claro, eso es lo que sucede, por ejemplo , cuando retrocedo veo el
contenido, pero al actualizar se redirige, pero no es lo ideal
claramente,
es poco seguro a mi parecer, esto se solventa eliminando el cache del
navegador con el header de la pagina, pero no se como hacerlo en rails.
claro, eso es lo que sucede, por ejemplo , cuando retrocedo veo el
contenido, pero al actualizar se redirige, pero no es lo ideal claramente,
es poco seguro a mi parecer, esto se solventa eliminando el cache del
navegador con el header de la pagina, pero no se como hacerlo en rails.
A mi me da que este es el comportamiento normal. Y a ver, poco
seguro… la sesión està efectivamente cerrada. La única intrusión que
se me ocurre es que alguien que no sea el usuario inicial retroceda
por el historial del navegador y vea información personal… peró es
que si alguien tiene acceso fÃsico a tu ordenador…
Lo de la cache se puede implementar con un filtro after_filter en
ApplicationController que antes de liberar la vista inserte un meta
no-cache [1]
El quid esta en que esto hace que el boton back envie una nueva
peticion: Es decir, si estabas en listado de clientes, pinchas en
detalle de un cliente, y le das al back, se vuelve a pedir el listado
de clientes al servidor.
Si hiciste logout, al darle al back se envia una peticion a la
aplicacion que pasa por el filtro de autenticacion y por eso no pueden
verse las cosas del mismo modo que no pueden verse escribiendo la URL
a mano.
Si mantienes estado en la sesion hay que tenerlo presente porque en
particular cuando el usuario autenticado esta navegando y le da al
back normal se envia una nueva peticion. La nueva peticion se envia
siempre hayas hecho logout o no. Por tanto un flujo de navegacion
representado en la sesion o algo asi podria liarse (ademas de tener
como penitencia un lustro de programacion de CGIs en VB).
This forum is not affiliated to the Ruby language, Ruby on Rails framework, nor any Ruby applications discussed here.